Microsoft a publié mardi des correctifs pour 74 vulnérabilités de sécurité, dont un bogue de type « zéro day » qui est activement exploité dans la nature. Sur les 74 problèmes, sept sont jugés critiques, 66 sont jugés importants et un est jugé de faible gravité. Deux des failles sont répertoriées comme étant publiquement connues au moment de la publication.
Il s’agit notamment de 24 vulnérabilités d’exécution de code à distance (RCE), 21 élévations de privilège, 17 divulgations d’informations et six dénis de service. Ces mises à jour s’ajoutent aux 36 failles corrigées dans le navigateur Microsoft Edge basé sur Chromium le 28 avril 2022.
Au premier rang des bogues résolus figure CVE-2022-26925 (score CVSS : 8,1), une vulnérabilité d’usurpation affectant l’autorité de sécurité locale (LSA) de Windows, que Microsoft décrit comme un « sous-système protégé qui authentifie et enregistre les utilisateurs sur le système local. »
« Un attaquant non authentifié pourrait appeler une méthode sur l’interfaceLSARPC et contraindre le contrôleur de domaine à s’authentifier auprès de l’attaquant en utilisant NTLM« , explique la société. « Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit.«
Il convient également de noter que le degré de gravité de la faille serait élevé à 9,8 si elle était enchaînée avec des attaques de relais NTLM sur les services de certificats Active Directory (AD CS), comme PetitPotam.
« Cet exploit, qui est activement exploité dans la nature, permet à un attaquant de s’authentifier en tant qu’utilisateur approuvé dans le cadre d’une attaque de relais NTLM, ce qui permet aux acteurs de la menace d’accéder aux hachages des protocoles d’authentification« , a déclaré Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs.
Les deux autres vulnérabilités connues du grand public sont les suivantes .
- CVE-2022-29972 (score CVSS : 8.2) – Insight Software : CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver (alias SynLapse)
- CVE-2022-22713 (score CVSS : 5.6) – Vulnérabilité par déni de service de Windows Hyper-V
Microsoft, qui a corrigé CVE-2022-29972 le 15 avril, l’a étiqueté comme « Exploitation plus probable » dans l’indice d’exploitabilité, ce qui rend impératif que les utilisateurs concernés appliquent les mises à jour dès que possible.
Redmond a également corrigé plusieurs bogues RCE dans Windows Network File System (CVE-2022-26937), Windows LDAP (CVE-2022-22012, CVE-2022-29130), Windows Graphics (CVE-2022-26927), Windows Kernel (CVE-2022-29133), Remote Procedure Call Runtime (CVE-2022-22019) et Visual Studio Code (CVE-2022-30129).
Cyber-Kunlun, une société de cybersécurité basée à Pékin, a signalé 30 des 74 failles, dont CVE-2022-26937, CVE-2022-22012 et CVE-2022-29130. De plus, CVE-2022-22019 fait suite à un patch incomplet pour trois vulnérabilités RCE dans la bibliothèque d’exécution Remote Procedure Call (RPC) – CVE-2022-26809, CVE-2022-24492 et CVE-2022-24528 – qui ont été corrigées par Microsoft en avril 2022.
L’exploitation de la faille permettrait à un attaquant distant et non authentifié d’exécuter du code sur la machine vulnérable avec les privilèges du service RPC, a déclaré Akamai. La mise à jour Patch Tuesday est également remarquable pour la résolution de deux vulnérabilités d’élévation de privilèges (CVE-2022-29104 et CVE-2022-29132) et de deux vulnérabilités de divulgation d’informations (CVE-2022-29114 et CVE-2022-29140) dans le composant Print Spooler, qui a longtemps constitué une cible attrayante pour les attaquants.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois afin de corriger plusieurs vulnérabilités, notamment :
- Adobe
- AMD
- Android
- Cisco
- Citrix
- Dell
- F5
- Google Chrome
- HP
- Intel
- Distributions Linux Debian, Oracle Linux, Red Hat, SUSE et Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR et Thunderbird
- Qualcomm
- SAP
- Schneider Electric
- Siemens