Vulnérabilités critiques dans les produits Microsoft (Patch Tuesday Avril 2022)

Date de publication :

Le 12 avril 2022, Microsoft a publié son Patch Tuesday. Ce bulletin présente plusieurs vulnérabilités critiques.

CVE-2022-24473[Score CVSS v3.1: 7.8
Une vulnérabilité dans Microsoft Excel permet à un attaquant, en incitant un utilisateur à visiter un site web spécialement forgé, d’exécuter du code arbitraire.

CVE 2022-24491 [Score CVSS v3.1: 9.8] (critique) 
Une faille dans le composant Network File System permet à un attaquant d’exécuter du code arbitraire.

CVE 2022-24521[Score CVSS v3.1: 7.8]
Une faille dans le composant Common Log File System Drive permet à un attaquant authentifié d’exécuter un programme spécialement forgé afin de générer du code arbitraire avec des privilèges plus élevés.

CVE-2022-26809[Score CVSS v3.1: 9.8] (critique)
Une faille dans la librairie du Runtime RPC permet à un attaquant d’exécuter du code arbitraire.

CVE-2022-26914[Score CVSS v3.1: 7.8]
Une faille dans le composant Win32k permet à un attaquant authentifié d’exécuter un programme spécialement forgé afin de générer du code arbitraire avec des privilèges plus élevés.

CVE-2022-26915[Score CVSS v3.1: 7.5]
Un défaut d'utilisation de données en mémoire après libération dans le canal sécurisé de Windows permet à un attaquant distant d’exécuter une commande conçue afin de provoquer un déni de service.

CVE-2022-26917, CVE-2022-26916 et CVE-2022-26918[Score CVSS v3.1: 7.8]
Une faille dans le composant Fax Compose Form permet à un attaquant, en incitant un utilisateur à ouvrir un contenu spécialement forgé, d’exécuter du code arbitraire.

CVE-2022-26919[Score CVSS v3.1: 8.1]
Une vulnérabilité dans le protocole LDAP de Microsoft Windows permet à un attaquant distant d’exécuter un programme spécialement forgé afin de générer du code arbitraire.

CVE-2022-26921[Score CVSS v3.1: 7.3]
Une vulnérabilité dans l’éditeur Microsoft Visual StudioCode permet à un attaquant authentifié d’exécuter un programme spécialement forgé afin de générer du code arbitraire avec des privilèges plus élevés.

CVE-2022-26924[Score CVSS v3.1: 7.5]
Une faille dans le toolkit Microsoft Yarp permet à un attaquant distant d’exécuter une commande conçue afin de provoquer un déni de service

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Élévation de privilèges
  • Exécution de code arbitraire
  • Déni de service

Criticité

  • Score CVSS v3.1: 9.8 max

La faille est activement exploitée

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentées.

Les vulnérabilités exploitées sont du type

Pour les CVE-2022-24473, CVE 2022-24491 et CVE-2022-26809

Pour les CVE 2022-24521

Pour la CVE-2022-26914

Pour les CVE-2022-26915, CVE-2022-26916, CVE-2022-26917, CVE-2022-26918 et CVE-2022-26919

Pour la CVE-2022-26921

  • En cours de calcul

Pour la CVE-2022-26924

Détails sur l’exploitation

Pour la CVE-2022-24473

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE 2022-24491

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE 2022-24521

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-26809

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-26914

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-26915

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour les CVE-2022-26916, CVE-2022-26917, CVE-2022-26918

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-26919

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Élevée.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-26921

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-26924

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour la CVE-2022-24473

  • Microsoft Office LTSC 2021 en 32 et 64 bits
  • Microsoft Office LTSC pour Mac 2021
  • Applications Microsoft 365 entreprises en 32 et 64 bits
  • Microsoft Office 2019 pour Mac

Pour la CVE 2022-24491

  • Windows 10 Version 21H2 - ARM64
  • Windows 10 version 21H2 en 32 bits
  • Windows 11 - ARM64
  • Windows 11 pour x64
  • Windows Server, version 20H2
  • Windows 10 version 20H2 pour ARM64
  • Windows 10 version 20H2 en 32 bits
  • Windows 10 version 20H2 pour x64
  • Windows Server 2022 (installation du noyau du serveur)
  • Serveur Windows 2022
  • Windows Server 2016 (installation du noyau du serveur)
  • Windows 10 version 21H2 pour x64
  • Windows 10 version 21H1 en 32 bits
  • Windows 10 version 21H1 pour ARM64
  • Windows 10 version 21H1 pour x64
  • Windows 10 version 1909 pour ARM64
  • Windows 10 version 1909 pour x64
  • Windows 10 version 1909 en 32 bits
  • Windows Server 2019 (installation du noyau du serveur)
  • Serveur Windows 2016
  • Windows 10 version 1607 pour x64
  • Windows 10 version 1607 en 32 bits
  • Windows 10 pour x64
  • Windows 10 en 32 bits
  • Windows RT 8.1
  • Windows 8.1 pour x64
  • Windows 8.1 en 32 bits
  • Serveur Windows 2019
  • Windows 10 version 1809 pour ARM64
  • Windows 10 version 1809 pour x64
  • Windows 10 version 1809 en 32 bits
  • Windows Serveur 2012 R2
  • Windows Server 2012 (installation du noyau du serveur)
  • Serveur Windows 2012
  • Windows Server 2012 R2 (installation du noyau du serveur)

Pour la CVE 2022-24521

  • Windows Server 2012 (installation du noyau du serveur)
  • Serveur Windows 2012
  • Windows Server 2008 R2 pour Service Pack 1
  • Windows Server 2008 pour x64 Service Pack 2
  • Windows Server 2008 en 32 bits Service Pack 2
  • Windows RT 8.1
  • Windows 8.1 pour x64
  • Windows 8.1 en 32 bits
  • Windows 7 pour x64 Service Pack 1
  • Windows Server 2012 R2 (installation du noyau du serveur)
  • Windows Serveur 2012 R2
  • Windows 7 en 32 bits Service Pack 1
  • Windows Server 2016 (installation du noyau du serveur)
  • Serveur Windows 2016
  • Windows 10 version 1607 pour x64
  • Windows 10 version 1607 en 32 bits
  • Windows 10 pour x64
  • Windows 10 en 32 bits
  • Windows 10 Version 21H2 pour x64
  • Windows 10 version 21H2 pour ARM64
  • Windows 10 version 21H2 pour 32 bits
  • Windows 11 pour ARM64
  • Windows 11 pour les systèmes x64
  • Windows Server, version 20H2 (installation du noyau du serveur)
  • Windows 10 version 20H2 pour ARM64
  • Windows 10 version 20H2 en 32 bits
  • Windows 10 version 20H2 pour x64
  • Windows Server 2022 (installation du noyau du serveur)
  • Serveur Windows 2022
  • Windows 10 version 21H1 en 32 bits
  • Windows 10 version 21H1 pour ARM64
  • Windows 10 version 21H1 pour x64
  • Windows 10 version 1909 pour ARM64
  • Windows 10 Version 1909 pour x64
  • Windows 10 version 1909 en 32 bits
  • Windows Server 2019 (installation du noyau du serveur)
  • Serveur Windows 2019
  • Windows 10 version 1809 pour ARM64
  • Windows 10 version 1809 pour x64
  • Windows 10 version 1809 en 32 bits

Pour la CVE-2022-26809

  • Windows 7 en 32 bits Service Pack 1
  • Windows Server 2016 (installation du noyau du serveur)
  • Windows 11 pour ARM64
  • Windows Server, version 20H2 (installation du noyau du serveur)
  • Windows 10 version 20H2 pour ARM64
  • Windows 10 version 1909 pour ARM64
  • Windows 10 Version 1809 pour x64
  • Windows 10 en 32 bits
  • Windows 10 version 21H2 pour x64
  • Windows 10 version 21H2 pour ARM64
  • Windows 10 version 21H2 en 32 bits
  • Windows 10 version 1809 en 32 bits
  • Windows Server 2022 (installation du noyau du serveur)
  • Serveur Windows 2022
  • Windows 10 version 21H1 en 32 bits
  • Windows 10 Version 21H1 pour ARM64
  • Windows 10 Version 21H1 pour x64
  • Windows Server 2012 R2 (installation du noyau du serveur)
  • Windows Serveur 2012 R2
  • Windows Server 2012 (installation du noyau du serveur)
  • Serveur Windows 2012
  • Windows Server 2008 R2 pour x64 Service Pack 1 (installation Server Core)
  • Windows Server 2008 R2 pour x64 Service Pack 1
  • Windows 10 version 20H2 en 32 bits
  • Windows 10 version 20H2 pour x64
  • Windows Server 2008 pour x64 Service Pack 2 (installation Server Core)
  • Serveur Windows 2016
  • Windows 10 version 1607 pour x64
  • Windows 10 version 1607 en 32 bits
  • Windows 10 pour x64
  • Windows 10 version 1909 pour x64
  • Windows 10 version 1909 en 32 bits
  • Windows 10 version 1809 pour ARM64
  • Windows Server 2008 pour x64 Service Pack 2
  • Windows Server 2008 en 32 bits Service Pack 2 (installation Server Core)
  • Windows 8.1 en 32 bits
  • Windows 7 pour x64 Service Pack 1
  • Windows Server 2008 en 32 bits Service Pack 2
  • Windows RT 8.1
  • Windows 8.1 pour x64
  • Windows 11 pour x64
  • Windows Server 2019 (installation du noyau du serveur)
  • Serveur Windows 2019

Pour la CVE-2022-26914

  • Windows 10 version 21H1 en 32 bits
  • Windows 10 version 21H1 pour ARM64
  • Windows 10 version 21H1 pour x64
  • Windows 10 version 1909 pour ARM64
  • Windows 10 version 1909 pour x64
  • Windows 10 version 1909 en 32 bits
  • Windows Server 2019 (installation du noyau du serveur)
  • Serveur Windows 2019
  • Windows 10 version 1809 pour ARM64
  • Windows 10 version 1809 pour x64
  • Windows 10 version 1809 en 32 bits
  • Windows 11 pour les systèmes x64
  • Windows Server, version 20H2 (installation du noyau du serveur)
  • Windows 10 version 20H2 pour ARM64
  • Windows 10 version 20H2 en 32 bits
  • Windows 10 Version 20H2 pour x64
  • Windows Server 2022 (installation du noyau du serveur)
  • Serveur Windows 2022
  • Windows 10 version 21H1 en 32 bits
  • Windows 10 Version 21H1 pour ARM64
  • Windows 10 Version 21H1 pour x64

Pour la CVE-2022-26915

  • Windows 10 version 1607 pour x64
  • Windows 10 version 1607 en 32 bits
  • Windows Serveur 2012 R2
  • Windows Server 2012 (installation du noyau du serveur)
  • Windows Server 2008 pour x64 Service Pack 2
  • Windows 7 en 32 bits Service Pack 1
  • Windows Server 2016 (installation du noyau du serveur)
  • Serveur Windows 2016
  • Windows Server 2008 en 32 bits Service Pack 2 (installation Server Core)
  • Windows Server 2008 en 32 bits Service Pack 2
  • Windows RT 8.1
  • Windows 8.1 pour x64
  • Windows 8.1 en 32 bits
  • Windows 7 pour x64 Service Pack 1
  • Serveur Windows 2012
  • Windows Server 2008 R2 pour x64 Service Pack 1 (installation Server Core)
  • Windows Server 2008 R2 pour x64 Service Pack 1
  • Windows Server 2008 pour x64 Service Pack 2 (installation Server Core)
  • Windows Server 2012 R2 (installation du noyau du serveur)
  • Windows 10 pour x64
  • Windows 10 en 32 bits
  • Windows 10 version 21H2 pour x64
  • Windows 10 version 21H2 pour ARM64
  • Windows 10 version 21H2 en 32 bits
  • Windows 11 pour ARM64
  • Windows Server, version 20H2 (installation du noyau du serveur)
  • Windows 10 version 20H2 pour ARM64
  • Windows 10 version 20H2 en 32 bits
  • Windows 10 version 20H2 pour x64
  • Windows Server 2022 (installation du noyau du serveur)
  • Serveur Windows 2022
  • Windows 10 version 21H1 en 32 bits
  • Windows 10 version 21H1 pour ARM64
  • Windows 10 version 21H1 pour x64
  • Windows 10 version 1909 pour ARM64
  • Windows 10 version 1909 pour x64
  • Windows 10 version 1909 en 32 bits
  • Windows Server 2019 (installation du noyau du serveur)
  • Serveur Windows 2019
  • Windows 10 version 1809 pour ARM64
  • Windows 10 version 1809 pour x64
  • Windows 10 version 1809 en 32 bits

Pour la CVE-2022-26916, CVE-2022-26917, CVE-2022-26919 et CVE-2022-26918

  • Windows Server, version 20H2 (installation du noyau du serveur)
  • Windows Server 2022 (installation du noyau du serveur)
  • Serveur Windows 2022
  • Windows Server 2019 (installation du noyau du serveur)
  • Serveur Windows 2019
  • Windows Server 2016 (installation du noyau du serveur)
  • Serveur Windows 2016
  • Windows Server 2012 R2 (installation du noyau du serveur)
  • Windows Serveur 2012 R2
  • Windows Server 2012 (installation du noyau du serveur)
  • Serveur Windows 2012
  • Windows RT 8.1
  • Windows 8.1 pour x64
  • Windows 8.1 en 32 bits
  • Windows 11 pour x64
  • Windows 11 pour ARM64
  • Windows 10 pour x64
  • Windows 10 en 32 bits
  • Windows 10 Version 21H2 pour x64
  • Windows 10 Version 21H2 pour ARM64
  • Windows 10 version 21H2 en 32 bits
  • Windows 10 Version 21H1 pour x64
  • Windows 10 Version 21H1 pour ARM64
  • Windows 10 version 21H1 en 32 bits
  • Windows 10 Version 20H2 pour x64
  • Windows 10 Version 20H2 pour ARM64
  • Windows 10 version 20H2 en 32 bits
  • Windows 10 Version 1909 pour x64
  • Windows 10 Version 1909 pour ARM64
  • Windows 10 version 1909 en 32 bits
  • Windows 10 Version 1809 pour x64
  • Windows 10 Version 1809 pour ARM64
  • Windows 10 version 1809 en 32 bits
  • Windows 10 version 1607 pour x64

Pour la CVE-2022-26921

  • Visual Studio Code

Pour la CVE-2022-26924

  • YARP 1.1RC
  • YARP 1.0

Solutions ou recommandations

  • Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois d’avril 2022.
  • La liste complète des vulnérabilités du Patch Tuesday est disponible ici.
  • Pour la CVE-2022-24473, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE 2022-24491, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE 2022-24521, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE-2022-26809, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE-2022-26914, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE-2022-26915, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE-2022-26916, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE-2022-26917, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE-2022-26919, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE-2022-26918, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE-2022-26921, les mises à jour logicielles sont disponibles ici.
  • Pour la CVE-2022-26924, les mises à jour logicielles sont disponibles ici.

 

Liens