Vulnérabilités dans Microsoft (Patch Tuesday janvier 2022)

Date de publication :

Microsoft Windows a publié le patch Tuesday du mois de janvier. Il s’agit  de correctifs concernant 126 vulnérabilités. Ce bulletin présente les vulnérabilités les plus critiques, ainsi qu’un regroupement des plus importantes par risques respectifs.

CVE-2022-21907[Score CVSS v3.1: 9.8]

L’éditeur a remarqué la présence d’une vulnérabilité dans la pile de protocoles http. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire à distance.

CVE-2022-21849[Score CVSS v3.1: 9.8]

Cette vulnérabilité concerne l’extension du module de génération des clés IKE (Internet Key Exchange) de Windows. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire à distance.

CVE-2022-21901[Score CVSS v3.1: 9.0]

L’éditeur a identifié une vulnérabilité dans le système de virtualisation Hyper-V. L’exploitation de cette vulnérabilité peut permettre à l’attaquant d’élever ses privilèges.

CVE-2022-21846    CVE-2022-21969   [Score CVSS v3.1: 9.0/9.0]

Ces vulnérabilités ont été découvertes dans le serveur Microsoft Exchange. L’exploitation de ces vulnérabilités peut permettre l’exécution de code arbitraire à distance.

Les autres vulnérabilités importantes sont les suivantes :

CVE-2022-21855  CVE-2022-21850  CVE-2022-21837  CVE-2022-21912  CVE-2022-21878CVE-2022-21917 [Score CVSS v3.1: 9.0 / 8.8 / 8.3 / 7.8 / 7.8 / 7.8]

Ces vulnérabilités concernent un risque d’exécution de code arbitraire à distance.

CVE-2022-21857  CVE-2022-21920  CVE-2022-21833  CVE-2022-21895  CVE-2022-21908   CVE-2022-21882 CVE-2022-21896  CVE-2022-21887 [Score CVSS v3.1 : 8.8 / 8.8 / 7.8 / 7.8 / 7.8 / 7.87 / 7]

Ces vulnérabilités concernent un risque d’élévation de privilèges.

CVE-2022-21911  CVE-2022-21890  CVE-2022-21848  [Score CVSS v3.1 :  7.5 / 7.5 / 7.5]

Ces vulnérabilités concernent un risque de déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Élévation de privilèges
  • Déni de service
  • Contournement de la politique de sécurité

Criticité

  • Score CVSS v3.1: 9.8 max

La faille est activement exploitée

  • Pour la CVE-2022-21882 : oui, elle est activement exploitée.
  • Les autres CVE présentés dans ce bulletin ne sont pas exploitées.

Un correctif existe

  •  Oui pour l’ensemble des CVE présentés

Une mesure de contournement existe

  • Non pour l’ensemble des CVE présentés

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-21882 :

Détails sur l’exploitation

Pour la CVE-2022-21907CVE-2022-21849

  • Vecteur d’attaque : réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Aucun
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Pour la CVE-2022-21901

  • Vecteur d’attaque : Adjacent
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : authentification utilisateur simple
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

Pour la CVE-2022-21846CVE-2022-21969

  • Vecteur d’attaque : Adjacent
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : authentification utilisateur simple
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Pour la CVE-2022-21907

  • Windows 10 Version 21H2 for x64-based Systems
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 11 for ARM64-based Systems
  • Windows 11 for x64-based Systems
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems

Pour la CVE-2022-21849

  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 11 for ARM64-based Systems
  • Windows 11 for x64-based Systems
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems

Pour la  CVE-2022-21901

  • Windows Server 2022
  • Windows 10 Version 21H1 for x64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows 10 Version 1809 for x64-based Systems
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 11 for x64-based Systems
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows Server 2022 (Server Core installation)
  • Windows 8.1 for x64-based systems

Pour la CVE-2022-21846CVE-2022-21969

  • Microsoft Exchange Server 2019 Cumulative Update 10
  • Microsoft Exchange Server 2016 Cumulative Update 21
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2019 Cumulative Update 11
  • Microsoft Exchange Server 2016 Cumulative Update 22

Solutions ou recommandations

  • Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois de janvier 2022.
  • Pour Windows 7 SP1, la mise à jour cumulative est disponible ici :KB5009610
  • Pour Windows 8.1, la mise à jour cumulative est disponible ici :KB5009624
  • Pour Windows 10 v1909, la mise à jour cumulative est disponible ici :KB5009545
  • Pour Windows 10 v2004, 20H2, 21H1, et 21H2,  la mise à jour cumulative est disponible ici :KB5009543
  • Pour Windows 11, la mise à jour cumulative est disponible ici :KB5009566 

Liens