Microsoft a corrigé différents problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), avec élévation de privilèges, de divulgation d’information, par exécution de code à distance (RCE), avec contournement des fonctions de sécurité et d’usurpation concernant notamment Edge–Chromium.

Vulnérabilités Microsoft importantes corrigées

L’avis de sécurité de ce mois concerne différents produits Microsoft, dont .NET et Visual Studio, Azure Site Recovery, Defender, Edge (basé sur Chromium), MS Exchange Server, HEIF Image Extension, HEVC Video Extension, Intune, les applications Microsoft 365, Office, Paint 3D, le service Bureau à distance (Remote Desktop), le serveur SMB et le système d’exploitation Windows.

CVE-2022-21990 et CVE-2022-23285 – Vulnérabilité par exécution de code à distance (RCE) sur le client Bureau à distance

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. S’il se connecte au service Bureau à distance, l’attaquant qui contrôle un serveur Bureau à distance peut lancer une exécution de code à distance (RCE) sur la machine cliente RDP lorsqu’un utilisateur ciblé se connecte au serveur rendu malveillant depuis un client de bureau à distance vulnérable.

Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-23277 – Vulnérabilité par exécution de code à distance (RCE) sur le serveur Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. L’attaquant qui exploite cette vulnérabilité peut cibler les comptes serveur via une exécution de code à distance (RCE) ou arbitraire. En tant qu’utilisateur authentifié, il peut tenter de déclencher du code malveillant au niveau du compte du serveur via un appel réseau.

Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-24469 – Vulnérabilité avec élévation de privilèges pour Azure Site Recovery

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Un attaquant peut appeler les API Azure Site Recovery fournies par le serveur de configuration et accéder dans la foulée aux données de configuration, y compris aux certificats associés aux systèmes protégés. À l’aide de ces API, l’attaquant peut également modifier/supprimer des données de configuration et ainsi impacter les opérations de récupération d’un site.

Évaluation d’exploitabilité :Exploitation moins probable.

CVE-2022-24508 – Vulnérabilité par exécution de code à distance (RCE) sur le client/serveur Windows SMBv3

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. En plus de publier une mise à jour pour cette vulnérabilité, Microsoft fournit une solution de contournement qui peut être utile selon votre situation. Dans tous les cas, Microsoft recommande fortement d’installer les mises à jour concernant cette vulnérabilité dès qu’elles seront disponibles, y compris si vous prévoyez de conserver cette solution de contournement. En effet, cette vulnérabilité est présente au sein d’une nouvelle fonctionnalité ajoutée à Windows 10 version 2004 ainsi que dans des versions plus récemment supportées de Windows. Les versions plus anciennes de Windows ne sont pas concernées.

Évaluation d’exploitabilité : Exploitation plus probable.

Vulnérabilités Adobe importantes corrigées

Adobe a publié des mises à jour pour corriger 6 CVE affectant After Effects, Illustrator et Photoshop. Parmi ces 6 vulnérabilités, 5 sont classées critiques.

APSB22-14 : Mise à jour de sécurité disponible pour Adobe Photoshop

Cette mise à jour corrige une vulnérabilité classée comme importante. En cas d’exploitation réussie, une fuite de mémoire pourrait affecter l’utilisateur ciblé.

APSB22-15 : Mise à jour de sécurité disponible pour Adobe Illustrator.

Cette mise à jour corrige une vulnérabilité critique pouvant entraîner l’exécution de code arbitraire.

APSB22-17 : Mise à jour de sécurité disponible pour Adobe After Effects

Cette mise à jour corrige des vulnérabilités de sécurité classées comme critiques. En cas d’exploitation réussie, une exécution de code arbitraire pourrait affecter l’utilisateur concerné.