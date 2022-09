septembre 2022 par Debra M. Fezza Reed, Analyste en chef et Ingénieur en recherche sur les vulnérabilités et les menaces, Qualys Lab.

Microsoft corrige 63 vulnérabilités dont 5 sont classées comme critiques, facilitant une exécution de code à distance (RCE). Le Patch Tuesday de ce mois permet en outre de corriger 2 failles Zero-Day, l’une étant activement exploitée* lors d’attaques (CVE-2022-37969* et CVE-2022-23960). Le 1er et le 2 septembre 2022, Microsoft a également publié 16 mises à jour de sécurité pour Microsoft Edge (basé sur Chromium), dont une pour résoudre une vulnérabilité d’exécution de code à distance (RCE) (CVE-2022-38012) classée avec un niveau faible de sévérité.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’information, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et également dans Microsoft Edge (basé sur Chromium).

Les vulnérabilités corrigées par Microsoft en septembre 2022 sont classées comme suit :

Déni de Service 7

Importante 7

Élévation de privilèges 18

Importante 18

Divulgation d’informations 7

Importante 7

Exécution de code à distance 31

Critique 5

Importante 25

Contournement des fonctions de sécurité

Importante 1

Exécution de code à distance 1

Faible 1

Microsoft Edge (basé sur Chromium) 16

N/A 15

Exécution de code à distance 1

Faible 1

Principales vulnérabilités Microsoft corrigées

CVE-2022-34718 | Vulnérabilité d’exécution de code à distance (RCE) dans le protocole Windows TCP/IP

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10.

En effet, un attaquant non authentifié peut envoyer un paquet IPv6 malveillant à un nœud Windows sur lequel IPSec est activé, ce qui peut entraîner une exécution de code à distance sur cette machine.

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34721, CVE-2022-34722 | Vulnérabilité d’exécution de code à distance (RCE) dans les extensions du protocole Windows Internet Key Exchange (IKE)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10.

Un attaquant non authentifié peut envoyer un paquet IP malveillant à une machine cible qui exécute Windows et sur laquelle IPSec est activé, ce qui peut entraîner une exploitation par exécution de code à distance.

REMARQUE : cette vulnérabilité impacte uniquement le protocole IKEv1. La version IKEv2 n’est pas concernée. Cependant, tous les serveurs Windows sont affectés dans la mesure où ils acceptent à la fois les paquets V1 et V2.

Évaluation d’exploitabilité : Exploitation moins probable

Vulnérabilités Zero-Day corrigées

Une vulnérabilité est classée comme Zero-Day si elle est divulguée publiquement ou activement exploitée sans correctif officiel disponible.

CVE-2022-37969 | Vulnérabilité d’élévation de privilèges (EoP) dans le pilote du système de fichiers journaux (CLFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10.

Un attaquant doit au préalable avoir un accès au système ciblé et disposer d’un moyen pour y exécuter du code. Cette technique ne permet pas l’exécution de code à distance lorsque l’attaquant ne dispose pas au préalable de privilèges sur le système ciblé.

Un attaquant qui parvient à exploiter cette vulnérabilité peut obtenir des privilèges SYSTEM.

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-23960 | Vulnérabilité d’élévation de privilèges(EoP) dans le pilote du système de fichiers journaux (CLFS) de Windows

Elle affiche un score de sévérité CVSSv3.1 de 5,6/10.

CVE-2022-23960 concerne une vulnérabilité connue sous le nom de Spectre-BHB. MITRE a créé cette CVE pour le compte d’Arm Limited.

Pour plus de détails, se reporter à Spectre-BHB sur arm Developer.

Évaluation d’exploitabilité : Exploitation moins probable

Zoom sur les vulnérabilités Microsoft importantes

L’avis de sécurité concerne de nombreuses familles de produits Microsoft, dont Azure, le navigateur, les outils pour développeurs, les mises à jour de sécurité étendue (ESU), Microsoft Dynamics, Microsoft Office, System Center et Windows.

Au total, ce sont 92 produits/versions uniques de Microsoft qui sont affectés, y compris mais pas seulement .NET, Azure Arc, Microsoft Dynamics, Microsoft Edge (basé sur Chromium), Microsoft Office, Microsoft Office SharePoint, SPNEGO Extended Negotiation, Visual Studio Code, le pilote Windows Common Log File System, le service Windows Credential Roaming Service, Windows Defender, le système Windows Distributed File System (DFS), l’interface Windows DPAPI (Data Protection Application Programming Interface), Windows Enterprise App Management, Windows Event Tracing, Windows Group Policy, l’extension Windows IKE Extension, Windows Kerberos, Windows Kernel, le protocole Windows LDAP – Lightweight Directory Access Protocol, le pilote Windows ODBC Driver, Windows OLE, les composants Windows Print Spooler Components, Windows Remote Access Connection Manager, Windows TCP/IP et Windows Transport Security Layer (TLS).

Les téléchargements comprennent la mise à jour cumulative, le déploiement mensuel, la mise à jour Security Hotpatch, Sécurité uniquement, et les mises à jour de sécurité.

CVE-2022-38009 | Vulnérabilité d’exécution de code à distance (RCE) sur Microsoft SharePoint Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10.

Dans le cadre d’une attaque via le réseau, un attaquant authentifié ayant des permissions pour gérer des listes pourra exécuter du code à distance sur le serveur SharePoint.

L’attaquant doit être authentifié sur le site ciblé avec la permission de gérer des listes dans SharePoint.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-26929 | Vulnérabilité d’exécution de code à distance (RCE) sur l’infrastructure .NET

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10.

Le terme « à distance » dans le titre concerne la localisation de l’attaquant. Ce type d’exploit est parfois appelé Arbitrary Code Execution (ACE) pour : Exécution de code arbitraire. L’attaque elle-même est menée en local.

Par exemple, lorsque le score indique que le Vecteur d’attaque est Local et qu’une Interaction utilisateur est requise, cela pourrait décrire un exploit au cours duquel un attaquant, au moyen de techniques d’ingénierie sociale, persuade une victime de télécharger et d’ouvrir un fichier malveillant depuis un site Web, ce qui entraînera une attaque locale sur son ordinateur.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-38007 | Vulnérabilité d’élévation de privilèges (EoP) dans la configuration Azure Guest Configuration et sur les serveurs activés pour Azure Arc.

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10.

Un attaquant parvenant à exploiter cette vulnérabilité pourrait remplacer le code fourni par Microsoft par son propre code, lequel pourrait ensuite être exécuté comme root (racine) dans le contexte d’un démon de configuration invité (Guest Configuration daemon). Sur une machine virtuelle Azure sur laquelle l’extension Guest Configuration Linux Extension est installée, ce code pourrait être exécuté dans le contexte Daemon GC Policy Agent. Sur un serveur activé pour Azure Arc, ce code pourrait être exécuté dans le contexte des daemon GC Arc Service ou Extension Service.

Évaluation d’exploitabilité : Exploitation moins probable

Microsoft Edge | Autres vulnérabilités majeures

Début septembre 2022, Microsoft a publié des correctifs pour différentes vulnérabilités dont la CVE-2022-38012 dans Microsoft Edge (basé sur Chromium). La vulnérabilité attribuée à cette CVE se trouve dans le logiciel Chromium Open Source Software (OSS) utilisé par Microsoft Edge. Elle est documentée dans le Guide des mises à jour de sécurité pour annoncer que la toute dernière version de Microsoft Edge (basée sur Chromium) n’est plus vulnérable. Pour plus d’information, consultez l’article Security Update Guide Supports CVEs Assigned by Industry Partners.

CVE-2022-38012 | Vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Edge (basé sur Chromium)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,7/10.

Le terme « à distance » dans le titre concerne la localisation de l’attaquant. Ce type d’exploit est parfois appelé Arbitrary Code Execution (ACE) pour Exécution de code arbitraire. L’attaque elle-même est menée en local.

Par exemple, lorsque le score indique que le Vecteur d’attaque est Local et qu’une Interaction utilisateur est requise, cela pourrait décrire un exploit au cours duquel un attaquant, au moyen de techniques d’ingénierie sociale, persuade une victime de télécharger et d’ouvrir un fichier malveillant depuis un site Web, ce qui entraînera une attaque locale sur son ordinateur.

Cette vulnérabilité peut entraîner une évasion du bac à sable du navigateur.

Pour réussir l’exploitation de cette vulnérabilité, l’attaquant doit réaliser des actions supplémentaires avant l’exploitation afin de préparer l’environnement ciblé.

REMARQUE : Selon les recommandations fournies par Microsoft en matière de sévérité, le volume d’interactions utilisateurs ou les conditions préalables requises pour autoriser ce type d’exploit ont dégradé le niveau de sévérité. Le système de score de sévérité CVSS n’autorise pas ce type de nuance, ce qui explique pourquoi cette CVE est classée comme Faible même si son score CVSSv3.1 est de 7,7.

À propos du Patch Tuesday de Qualys

Les ID Qualys relatifs au Patch Tuesday de Qualys sont publiés sur la page dédiée aux Alertes de sécurité, généralement à la fin de la journée où est publié le Patch Tuesday, suivis peu de temps après par la publication des requêtes mensuelles dans le cadre du Tableau de bord unifié : tableau de bord (QID) Patch Tuesday 2022 le mercredi.

Avis de sécurité de niveau élevé - Qualys Threat Protection

Google Chrome publie un correctif pour la vulnérabilité Zero-Day (CVE-2022-3075)