Microsoft a publié sa série mensuelle de mises à jour Patch Tuesday pour corriger 84 nouvelles failles de sécurité couvrant plusieurs catégories de produits, en comptant une vulnérabilité de type « zero-day » qui fait l’objet d’une attaque active dans la nature.
Sur les 84 failles, quatre sont classées critiques et 80 sont classées importantes en termes de gravité. Le géant technologique a également résolu séparément deux autres bogues dans le navigateur Edge basé sur Chromium, dont l’un comble une autre faille de type « jour zéro » que Google a révélée comme étant activement exploitée dans des attaques réelles.
En tête de liste des mises à jour de ce mois-ci figure CVE-2022-22047 (score CVSS : 7,8), un cas d’élévation de privilèges dans le sous-système d’exécution Windows Client Server (CSRSS) qui pourrait être exploité par un attaquant pour obtenir des autorisations SYSTEM.
« Avec ce niveau d’accès, les attaquants sont en mesure de désactiver des services locaux tels que les outils de détection et de sécurité des points de terminaison« , a déclaré Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs. « Grâce à l’accès au SYSTÈME, ils peuvent également déployer des outils tels que Mimikatz, qui peuvent être utilisés pour récupérer encore plus de comptes de niveau administrateur et de domaine, propageant ainsi rapidement la menace.«
On sait très peu de choses sur la nature et l’ampleur des attaques, si ce n’est une évaluation « Exploitation détectée » de la part de Microsoft. Le centre de renseignement sur les menaces (MSTIC) et le centre de réponse de sécurité (MSRC) de la société ont été crédités d’avoir signalé la faille.
En dehors de CVE-2022-22047, deux autres failles d’élévation de privilèges ont été corrigées dans le même composant : CVE-2022-22026 (score CVSS : 8,8) et CVE-2022-22049 (score CVSS : 7,8), qui ont été signalées par le chercheur Sergei Glazunov du Google Project Zero.
« Un attaquant authentifié localement pourrait envoyer des données spécialement conçues au service CSRSS local afin d’élever ses privilèges de AppContainer à SYSTEM« , a déclaré Microsoft dans un avis concernant CVE-2022-22026.
« L’environnement AppContainer étant considéré comme une frontière de sécurité défendable, tout processus capable de contourner cette frontière est considéré comme un changement de périmètre. L’attaquant pourrait alors exécuter du code ou accéder à des ressources à un niveau d’intégrité supérieur à celui de l’environnement d’exécution AppContainer.«
Microsoft a également corrigé un certain nombre de failles d’exécution de code à distance dans le système de fichiers réseau Windows (CVE-2022-22029 et CVE-2022-22039), Windows Graphics (CVE-2022-30221), Remote Procedure Call Runtime (CVE-2022-22038) et Windows Shell (CVE-2022-30222).
La mise à jour se distingue également par le fait qu’elle corrige pas moins de 32 problèmes dans le service de continuité des activités Azure Site Recovery. Deux de ces failles sont liées à l’exécution de code à distance et les 30 autres concernent l’escalade de privilèges.
« Une exploitation réussie […] nécessite qu’un attaquant compromette les informations d’identification de l’administrateur de l’une des machines virtuelles associées au serveur de configuration« , a déclaré la société, ajoutant que les failles ne « permettent pas la divulgation d’informations confidentielles, mais pourraient permettre à un attaquant de modifier des données pouvant entraîner l’indisponibilité du service.«
En outre, la mise à jour de juillet de Microsoft contient également des correctifs pour quatre vulnérabilités d’élévation de privilèges dans le module Print Spooler de Windows (CVE-2022-22022, CVE-2022-22041, CVE-2022-30206 et CVE-2022-30226) après un bref répit en juin 2022, soulignant ce qui semble être un flux incessant de failles dans la technologie.
Les mises à jour du Patch Tuesday sont complétées par deux corrections notables de vulnérabilités de falsification dans le service Windows Server (CVE-2022-30216) et Microsoft Defender for Endpoint (CVE-2022-33637) et trois failles de déni de service (DoS) dans Internet Information Services (CVE-2022-22025 et CVE-2022-22040) et Security Account Manager (CVE-2022-30208).