Vulnérabilités dans les produits Microsoft (Patch Tuesday Mars 2022)

Date de publication :

Le 9 mars 2022, Microsoft a publié son Path Tuesday. Ce bulletin présente plusieurs vulnérabilités importantes.

 

CVE-2022-23294[Score CVSS v3.1: 8.8]
Un contrôle insuffisant des données entrées dans la fonctionnalité de suivi d’évènements (ETW) peut permettre à un attaquant d’utiliser une requête pour exécuter du code arbitraire sur le système.

CVE-2022-24508[Score CVSS v3.1: 8.8]
Un contrôle insuffisant des données entrées dans le protocole SMBv3 Client/Server peut permettre à un attaquant d’utiliser des paquets pour exécuter du code arbitraire sur le système.

CVE-2022-23277[Score CVSS v3.1: 8.8]
Un contrôle insuffisant des données entrées dans le serveur Microsoft Exchange peut permettre à un attaquant d’utiliser des paquets pour exécuter du code arbitraire sur le système.

CVE-2022-24510CVE-2022-24461CVE-2022-24509[Score CVSS v3.1: 7.8]
Une attaque par XSS peut être réalisée en raison d’un contrôle insuffisant des données entrées dans Microsoft Office Vision. Un attaquant incitant un utilisateur à visiter un site web peut exécuter du code arbitraire sur son système.

CVE-2022-21990[Score CVSS v3.1: 8.8]
Une configuration incorrecte de l’accès mémoire dans Remote Desktop Client peut permettre une attaque par XSS. Un attaquant incitant un utilisateur à visiter un site web peut exécuter du code arbitraire sur son système.

CVE-2022-24469[Score CVSS v3.1: 8.1]
Une restriction de sécurité insuffisante dans Azure Site Recovery peut permettre à un attaquant d’utiliser des requêtes pour exécuter du code arbitraire avec les privilèges les plus élevés.

CVE-2022-24459[Score CVSS v3.1: 7.8]
Une configuration incorrecte des restrictions de sécurité dans le service Fax et Scan de Windows peut permettre à un attaquant d’utiliser un programme pour exécuter du code arbitraire avec les privilèges les plus élevés.

CVE-2022-24455[Score CVSS v3.1: 7.8]
Une configuration incorrecte des restrictions de sécurité concernant le pilote CD-ROM de Windows peut permettre à un attaquant d’utiliser un programme pour exécuter du code arbitraire avec les privilèges les plus élevés.

CVE-2022-23293[Score CVSS v3.1: 7.8]
Une configuration incorrecte des restrictions de sécurité concernant le pilote Fast FAT File System peut permettre à un attaquant d’utiliser un programme pour exécuter du code arbitraire avec les privilèges les plus élevés.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Élévation de privilèges
  • Exécution de code arbitraire (à distance)

Criticité

  • Score CVSS v3.1: 8.8 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentés. Un exploit (POC) existe pour la CVE-2022-21990

Un correctif existe

  • Oui, pour l’ensemble des CVE présentés.

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentés.

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-23294

Pour la CVE-2022-24508

Pour la CVE-2022-23277

Pour la CVE-2022-24510

Pour la CVE-2022-24461

 Pour la CVE-2022-24509

Pour la CVE-2022-21990

Pour la CVE-2022-24469

Pour la CVE-2022-24459

Pour la CVE-2022-24455

Pour la CVE-2022-23293

Détails sur l’exploitation

Pour la CVE-2022-23294CVE-2022-24508CVE-2022-23277CVE-2022-24469

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-24510CVE-2022-24461CVE-2022-24509

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-21990

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-24459

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-24455CVE-2022-23293

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

Pour la CVE-2022-23294

  • Windows 10 Version 1809 32-bit Systems
  • Windows Server 2019
  • Windows 10 Version 1809 ARM64-based Systems
  • Windows 10 Version 1809 x64-based Systems
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012
  • Windows RT 8.1
  • Windows 8.1 x64-based systems
  • Windows 8.1 32-bit systems
  • Windows Server 2022
  • Windows 10 Version 21H1 32-bit Systems
  • Windows 10 Version 21H1 ARM64-based Systems
  • Windows 10 Version 21H1 x64-based Systems
  • Windows 10 Version 1909 ARM64-based Systems
  • Windows 10 Version 1909 x64-based Systems
  • Windows 10 Version 1909 32-bit Systems
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows 10 Version 1607 x64-based Systems
  • Windows 10 Version 1607 32-bit Systems
  • Windows 10 x64-based Systems
  • Windows 10 32-bit Systems
  • Windows 10 Version 21H2 x64-based Systems
  • Windows 10 Version 21H2 ARM64-based Systems
  • Windows 10 Version 21H2 32-bit Systems
  • Windows 11 ARM64-based Systems
  • Windows 11 x64-based Systems
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows 10 Version 20H2 ARM64-based Systems
  • Windows 10 Version 20H2 32-bit Systems
  • Windows 10 Version 20H2 x64-based Systems
  • Windows Server 2022 Azure Edition Core Hotpatch
  • Windows Server 2022 (Server Core installation)

Pour la CVE-2022-24508

  • Windows 10 Version 21H1 32-bit Systems
  • Windows 10 Version 21H1 ARM64-based Systems
  • Windows 10 Version 21H1 x64-based Systems
  • Windows 10 Version 20H2 32-bit Systems
  • Windows 10 Version 20H2 x64-based Systems
  • Windows Server 2022 Azure Edition Core Hotpatch
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022
  • Windows 10 Version 21H2 x64-based Systems
  • Windows 10 Version 21H2 ARM64-based Systems
  • Windows 10 Version 21H2 32-bit Systems
  • Windows 11 ARM64-based Systems
  • Windows 11 x64-based Systems
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows 10 Version 20H2 ARM64-based Systems

Pour la CVE-2022-23277

  • Microsoft Exchange Server 2019 Cumulative Update 11
  • Microsoft Exchange Server 2016 Cumulative Update 22
  • Microsoft Exchange Server 2019 Cumulative Update 10
  • Microsoft Exchange Server 2016 Cumulative Update 21
  • Microsoft Exchange Server 2013 Cumulative Update 23

Pour la CVE-2022-24510CVE-2022-24508CVE-2022-23277

  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft 365 Apps Enterprise for 64-bit Systems
  • Microsoft 365 Apps Enterprise for 32-bit Systems
  • Microsoft Office 2019 64-bit editions
  • Microsoft Office 2019 32-bit editions

 

Pour la CVE-2022-21990

  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 11 for ARM64-based Systems
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 11 for x64-based Systems
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems
  • Remote Desktop client for Windows Desktop
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows RT 8.1
  • Windows 8.1 for x64-based systems
  • Windows 8.1 for 32-bit systems
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 10 Version 1809 for 32-bit Systems

 

Pour la CVE-2022-24469

  • Azure Site Recovery VMWare to Azure

 

Pour la CVE-2022-24459

  • Windows Server 2008 x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 x64-based Systems Service Pack 2
  • Windows Server 2008 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 32-bit Systems Service Pack 2
  • Windows RT 8.1
  • Windows 10 32-bit Systems
  • Windows Server 2008 R2 x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 x64-based Systems Service Pack 1
  • Windows 10 Version 21H2 x64-based Systems
  • Windows 10 Version 21H2 ARM64-based Systems
  • Windows 10 Version 21H2 32-bit Systems
  • Windows 11 for ARM64-based Systems
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core installation)
  • Windows 8.1 x64-based systems
  • Windows 8.1 32-bit systems
  • Windows 7 x64-based Systems Service Pack 1
  • Windows 7 32-bit Systems Service Pack 1
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows 10 Version 1607 x64-based Systems
  • Windows 10 Version 1607 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1809 32-bit Systems
  • Windows 11 for x64-based Systems
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows 10 Version 20H2 ARM64-based Systems
  • Windows 10 Version 20H2 32-bit Systems
  • Windows 10 Version 20H2 x64-based Systems
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022
  • Windows 10 Version 21H1 32-bit Systems
  • Windows 10 Version 21H1 ARM64-based Systems
  • Windows 10 Version 21H1 x64-based Systems
  • Windows 10 Version 1909 ARM64-based Systems
  • Windows 10 Version 1909 x64-based Systems
  • Windows 10 Version 1909 32-bit Systems
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows 10 Version 1809 ARM64-based Systems
  • Windows 10 Version 1809 x64-based Systems

 

Pour la CVE-2022-24455

  • Windows 10 Version 1909 ARM64-based Systems
  • Windows 10 Version 1909 x64-based Systems
  • Windows 10 Version 1909 32-bit Systems
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows 10 Version 1809 ARM64-based Systems
  • Windows 10 Version 1809 x64-based Systems
  • Windows 10 Version 1809 32-bit Systems
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012
  • Windows RT 8.1
  • Windows 8.1 x64-based systems
  • Windows 8.1 32-bit systems
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows 10 Version 1607 x64-based Systems
  • Windows 10 Version 1607 32-bit Systems
  • Windows 10 x64-based Systems
  • Windows 10 32-bit Systems

 

Pour la CVE-2022-23293

  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows 10 Version 1607 x64-based Systems
  • Windows 10 Version 1607 32-bit Systems
  • Windows Server version 20H2 (Server Core Installation)
  • Windows 10 Version 20H2 ARM64-based Systems
  • Windows 10 Version 20H2 32-bit Systems
  • Windows 10 Version 20H2 x64-based Systems
  • Windows Server 2022 Azure Edition Core Hotpatch
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022
  • Windows 10 Version 21H1 32-bit Systems
  • Windows 10 Version 21H1 ARM64-based Systems
  • Windows 10 Version 21H1 x64-based Systems
  • Windows 10 Version 1909 ARM64-based Systems
  • Windows 10 Version 1909 x64-based Systems
  • Windows 10 Version 1909 32-bit Systems
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 x64-based Systems
  • Windows 10 32-bit Systems
  • Windows 10 Version 21H2 x64-based Systems
  • Windows 10 Version 21H2 ARM64-based Systems
  • Windows 10 Version 21H2 32-bit Systems
  • Windows 11 ARM64-based Systems
  • Windows 11 x64-based Systems
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2008 R2 x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 x64-based Systems Service Pack 1
  • Windows Server 2008 x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 x64-based Systems Service Pack 2
  • Windows Server 2008 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 32-bit Systems Service Pack 2
  • Windows RT 8.1
  • Windows 8.1 x64-based systems
  • Windows 8.1 32-bit systems
  • Windows 7 x64-based Systems Service Pack 1
  • Windows 7 32-bit Systems Service Pack 1

Solutions ou recommandations

  • Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois de mars 2022.
     
  • La liste complète des vulnérabilités du Patch Tuesday est disponible ici.
     
  • Pour le système d’exploitation Windows 11, la mise à jour cumulative est disponible ici : KB5011493
     
  • Pour le système d’exploitation Windows 10 Enterprise (version 1909), Windows 10 Enterprise et Education (version 1909), Windows 10 IoT Enterprise (version 1909), la mise à jour cumulative est disponible ici : KB5011485
     
  • Pour le système d’exploitation Windows 10 (version 21H2 et version 22H2), la mise à jour cumulative est disponible ici : KB5011487
     
  • Pour le système d’exploitation Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro, la mise à jour cumulative est disponible ici :KB5011564
     
  • Pour le système d’exploitation Windows 7, Windows 7 Enterprise ESU, Windows 7 Professional ESU, Windows 7 Ultimate ESU, Windows Server 2008 R2 Enterprise ESU, Windows Server 2008 R2 Standard ESU, Windows Server 2008 R2 Datacenter ESU, Windows Embedded Standard 7 ESU, Windows Embedded POSReady 7 ESU, la mise à jour cumulative est disponible ici : KB5011552

Liens