Patch Tuesday – Mai 2022 : 75 vulnérabilités et 3 zero-day dont une exploitée !
Microsoft a mis en ligne son Patch Tuesday de Mai 2022 ! Au programme, nous avons le droit 75 failles de sécurité et 3 failles zero-day dont une qui serait activement exploitée. Faisons le point.
Pour une fois, il n'y a pas de faille de sécurité corrigée dans Microsoft Edge ! Ensuite, parmi ces 75 vulnérabilités, il y en a 8 qui sont considérées comme critiques et qui correspondent à des failles de type "exécution de code à distance" ou "élévation de privilèges". Au total, il y a 26 vulnérabilités de type "exécution de code à distance" et 21 vulnérabilités de type "élévation de privilèges".
De manière générale, les produits touchés par des vulnérabilités critiques sont : Azure SHIR (ADV220001), le client Bureau à distance de Windows (CVE-2022-22017), Magnitude Simba Amazon Redshift ODBC Driver (CVE-2022-29972), l'Active Directory (CVE-2022-26923), Windows Kerberos (CVE-2022-26931), Windows NFS (CVE-2022-26937) et Windows PPTP par deux fois (CVE-2022-23270 et CVE-2022-21972).
D'autres produits sont également concernés par ce Patch Tuesday, parmi lesquels : .NET et Visual Studio, Microsoft Exchange Server, Microsoft Office, Hyper-V (trois vulnérabilités importantes), BitLocker, Windows Cluster Shared Volume, l'implémentation du protocole LDAP dans Windows (dix vulnérabilités importantes), Windows NTFS, le Spouleur d'impression de Windows (quatre vulnérabilités importantes), etc.
Trois failles 0-day dans le Patch Tuesday de Mai 2022
Parlons des trois failles 0-day corrigées par ce Patch Tuesday de Mai 2022. Tout d'abord, les deux vulnérabilités ci-dessous sont connues publiquement et elles viennent d'être patchée :
- CVE-2022-22713 - Déni de service dans Hyper-V
- OS : Windows Server version 20H2 (Core), Windows 10 version 21H2, Windows 10 version 21H1 et Windows 10 version 20H2
- CVE-2022-29972 - Exécution de code à distance dans le pilote ODBC de Redshift, ce qui peut impacter certains produits Microsoft
Quant à la faille 0-day qui est actuellement exploitée dans le cadre d'attaques informatiques, il s'agit de la CVE-2022-26925 ! Cette vulnérabilité permet une nouvelle attaque de type "relais NTLM" dans le même esprit que la faille de sécurité PetitPotam découverte en 2021. Toutes les versions de Windows (desktop et server) sont affectées.
A son sujet, Microsoft précise : "Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant en utilisant NTLM. Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit.".
Grâce à cela, l'attaquant peut intercepter des requêtes d'authentification légitimes et les réutiliser pour s'authentifier à son tour dans le but d'effectuer une élévation de privilèges. Une vulnérabilité particulièrement dangereuse pour les entreprises qui utilisent un Active Directory !
On se retrouve un peu plus tard pour parler des mises à jour cumulatives pour Windows 10 et Windows 11 qui viennent de sortir...
