Multiples vulnérabilités critiques dans Microsoft (Patch Tuesday)

Date de publication :

 

CVE-2022-30133[Score CVSS v3.1: 9.8] (critique)
Une faille dans le protocole Point-to-Point Tunneling de Microsoft Windows permet à un attaquant distant, en envoyant des requêtes spécialement forgées, d’exécuter du code arbitraire sur le système.

CVE-2022-35744[Score CVSS v3.1: 9.8] (critique)
Une faille dans le protocole Point-to-Point Tunneling de Microsoft Windows permet à un attaquant distant, en exécutant des requêtes spécialement forgées, d’exécuter du code arbitraire sur le système.

CVE-2022-24516[Score CVSS v3.1: 9.8] (critique)
Une faille dans le serveur Exchange de Microsoft Windows permet à un attaquant distant et authentifié, en exécutant un programme spécialement forgé, d’exécuter du code arbitraire avec des privilèges plus élevés.

CVE-2022-34713[Score CVSS v3.1: 7.8]
Une faille dans l’utilitaire de dépannage Support Diagnostic Tool (MSDT) permet à un attaquant, en envoyant un fichier .diagcab (une archive CAB (Microsoft Cabinet) qui contient un fichier de contrôle XML.diagpkg, des scripts PowerShell, etc…) spécialement forgé et en persuadant une victime de l’ouvrir, d’exécuter du code arbitraire sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Élévation de privilèges

Criticité

  • Score CVSS v3.1: 9.8 max

La faille est activement exploitée

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées

Une mesure de contournement existe

La vulnérabilité exploitée est du type

CWE-20: Improper Input Validation

CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer

CWE-264: Permissions, Privileges, and Access Controls

Détails sur l’exploitation

Pour les CVE-2022-30133 et CVE-2022-35744

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-34713

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-24516

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

    Systèmes ou composants affectés

    Composants vulnérables

    Pour les CVE-2022-30133 et CVE-2022-35744

    • Microsoft Windows Server (installation Server Core) 2012 R2
    • Microsoft Windows Server 2012 R2
    • Microsoft Windows Server (installation du noyau du serveur) 2012
    • Microsoft Windows Server 2012
    • Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
    • Microsoft Windows Server pour les systèmes basés sur X64 2008 R2 SP1
    • Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP2
    • Microsoft Windows Server pour les systèmes basés sur X64 2008 R2 SP2
    • Microsoft Windows Server pour les systèmes basés sur 32-bit (installation Server Core) 2008 R2 SP2
    • Microsoft Windows Server pour les systèmes basés sur 32-bit 2008 R2 SP2
    • Microsoft Windows RT 8.1
    • Microsoft Windows 8.1 x64
    • Microsoft Windows 8.1 32-bit
    • Microsoft Windows 7 SP1 x64
    • Microsoft Windows 7 SP1 32-bit
    • Microsoft Windows Server (installation du noyau du serveur) 2016
    • Microsoft Windows Server 2016
    • Microsoft Windows 10 1607 pour les systèmes x64
    • Microsoft Windows 10 1607 pour les systèmes 32-bit
    • Microsoft Windows 10 x64
    • Microsoft Windows 10 32-bit
    • Microsoft Windows 10 21H1 pour les systèmes 32 bits
    • Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64
    • Microsoft Windows 10 21H1 pour les systèmes x64
    • Microsoft Windows 11 x64
    • Microsoft Windows 11 ARM64
    • Microsoft Windows Server (installation du noyau du serveur) 20H2
    • Microsoft Windows 10 20H2 pour les systèmes 32-bit
    • Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64
    • Microsoft Windows 10 20H2 pour les systèmes x64
    • Microsoft Windows Server (installation du noyau du serveur) 2022
    • Microsoft Windows Server 2022
    • Microsoft Windows 10 21H2 pour les systèmes 32-bit
    • Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64
    • Microsoft Windows 10 21H2 pour les systèmes x64
    • Microsoft Windows Server (installation du noyau du serveur) 2019
    • Microsoft Windows Server 2019
    • Microsoft Windows 10 1809 pour les systèmes 32-bit
    • Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
    • Microsoft Windows 10 1809 pour les systèmes x64

    Pour laCVE-2022-24516

    • Microsoft Exchange server 2016 Cumulative Update 23
    • Microsoft Exchange server 2019 Cumulative Update 12
    • Microsoft Exchange server 2016 Cumulative Update 22
    • Microsoft Exchange server 2019 Cumulative Update 11
    • Microsoft Exchange server 2013 Cumulative Update 23

    Pour la CVE-2022-34713

    • Microsoft Windows Server (installation Server Core) 2012 R2
    • Microsoft Windows Server 2012 R2
    • Microsoft Windows Server (installation du noyau du serveur) 2012
    • Microsoft Windows Server 2012
    • Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
    • Microsoft Windows Server pour les systèmes basés sur X64 2008 R2 SP1
    • Microsoft Windows RT 8.1
    • Microsoft Windows 8.1 x64
    • Microsoft Windows 8.1 32-bit
    • Microsoft Windows 7 SP1 x64
    • Microsoft Windows 7 SP1 32-bit
    • Microsoft Windows Server (installation du noyau du serveur) 2016
    • Microsoft Windows Server 2016
    • Microsoft Windows 10 1607 pour les systèmes x64
    • Microsoft Windows 10 1607 pour les systèmes 32-bit
    • Microsoft Windows 10 x64
    • Microsoft Windows 10 32-bit
    • Microsoft Windows 10 21H1 pour les systèmes 32 bits
    • Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64
    • Microsoft Windows 10 21H1 pour les systèmes x64
    • Microsoft Windows 11 x64
    • Microsoft Windows 11 ARM64
    • Microsoft Windows Server (installation du noyau du serveur) 20H2
    • Microsoft Windows 10 20H2 pour les systèmes 32-bit
    • Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64
    • Microsoft Windows 10 20H2 pour les systèmes x64
    • Microsoft Windows Server (installation du noyau du serveur) 2022
    • Microsoft Windows Server 2022
    • Microsoft Windows 10 21H2 pour les systèmes 32-bit
    • Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64
    • Microsoft Windows 10 21H2 pour les systèmes x64
    • Microsoft Windows Server (installation du noyau du serveur) 2019
    • Microsoft Windows Server 2019
    • Microsoft Windows 10 1809 pour les systèmes 32-bit
    • Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
    • Microsoft Windows 10 1809 pour les systèmes x64

    Contournement provisoire

    Pour les CVE-2022-30133 et CVE-2022-35744

    • Microsoft propose de désactiver le port 1723 (mais ceci peut entraîner des conséquences sur la communication au sein du réseau)

    Pour la CVE-2022-34713

    • Il est important de blacklister l’extension .diagcab par le serveur de messagerie afin de limiter l’exposition des utilisateurs.
    • Si possible, surveiller voire blacklister les fichiers .diagcab provenant d’Internet

    Solutions ou recommandations

      Pour les CVE-2022-30133 et CVE-2022-35744

      • Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois d’aout 2022 (Plus d’informations ici ou ici).

      Pour la CVE-2022-24516

      • Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois d’aout 2022 (Plus d’informations ici ou ici).
      • Microsoft recommande d’allumer "Windows Extended Protection" sur les serveurs Exchange (voir la documentation ici).

      Pour la CVE-2022-34713

      • Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois d’aout 2022 (Plus d’informations ici).

      Liens