Multiples vulnérabilités critiques dans Microsoft (Patch Tuesday)

Date de publication :

CVE-2022-30190[Score CVSS v3.1: 7.8]
Une faille dans l’utilitaire de dépannage Support Diagnostic Tool (MSDT) permet à un attaquant, en persuadant la victime d’ouvrir un fichier Word ou de prévisualiser un fichier au format RTF spécialement forgé, d’exécuter du code arbitraire avec des privilèges élevés.

CVE-2022-30136[Score CVSS v3.1: 9.8]
Une erreur dans le composant Network File System de Microsoft Windows permet à un attaquant, grâce à l’envoi d’une requête spécialement forgée, d’exécuter du code arbitraire sur le système.

CVE-2022-30163[Score CVSS v3.1: 8.5]
Une faille dans le composant Hyper-V de Microsoft Windows permet à un attaquant, grâce à l’envoi d’une requête spécialement forgée, d’exécuter du code arbitraire sur le système.

CVE-2022-30147[Score CVSS v3.1: 7.8]
Une faille dans le programme d'installation de Microsoft Windows permet à un attaquant, grâce à l’exécution d’un programme spécialement conçu, d’exécuter du code arbitraire avec des privilèges élevés.

CVE-2022-30139[Score CVSS v3.1: 7.5]
Une faille dans le composant LDAP de Microsoft Windows permet à un attaquant, grâce à l’envoi d’une requête spécialement forgée, d’exécuter du code arbitraire sur le système.

CVE-2022-30164[Score CVSS v3.1: 8.4]
Une faille dans le protocole d’authentification réseau Kerberos permet à un attaquant de contourner la politique de sécurité du système.

CVE-2022-30157[Score CVSS v3.1: 8.8]
Une erreur dans Microsoft SharePoint Server permet à un attaquant distant, grâce à l’envoi d’une requête spécialement conçue, d’exécuter du code arbitraire sur le système.

CVE-2022-30165[Score CVSS v3.1: 8.8] Une faille dans le protocole d’authentification réseau Kerberos permet à un attaquant, grâce à l’exécution d’un programme spécialement conçu, d’exécuter du code arbitraire avec des privilèges élevés.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Élévation de privilèges
  • Contournement de la politique de sécurité

Criticité

  • Score CVSS v3.1: 9.8 max

La faille est activement exploitée

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentées

La vulnérabilité exploitée est du type

CWE-78: Improper Neutralization of Special Elements used in an OS Command

CWE-20: Improper Input Validation

CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization

CWE-264 - Permissions, Privileges, and Access Controls

CWE-254 - Security Features

Détails sur l’exploitation

Pour la CVE-2022-30190

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-30136

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-30163, CVE-2022-30139

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Élevée.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-30147

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-30164

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-30157

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-30165

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

Pour la CVE-2022-30190

  • Microsoft Windows 7 SP1 x32
  • Microsoft Windows 7 SP1 x64
  • Microsoft Windows Server 2008 R2 X64
  • Microsoft Windows Server 2012
  • Microsoft Windows RT
  • Microsoft Windows 8.1 x32
  • Microsoft Windows 8.1 x64
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows RT 8.1
  • Microsoft Windows 10 x32
  • Microsoft Windows 10 x64
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2019
  • Microsoft Windows 10 1809 pour les systèmes x64
  • Microsoft Windows 10 1809 pour les systèmes 32 bits
  • Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 1607 pour les systèmes 32 bits
  • Microsoft Windows 10 1607 pour les systèmes x64
  • Microsoft Windows 10 20H2 pour les systèmes 32 bits
  • Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 20H2 pour les systèmes x64
  • Microsoft Windows Server (installation du noyau du serveur) 2019
  • Microsoft Windows Server (installation du noyau du serveur) 20H2
  • Microsoft Windows Server (installation du noyau du serveur) 2016
  • Microsoft Windows Server (installation Server Core) 2012 R2
  • Microsoft Windows Server (installation du noyau du serveur) 2012
  • Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2
  • Microsoft Windows Server pour les systèmes basés sur X64 2008 R2 SP1
  • Microsoft Windows Server pour les systèmes 32 bits (installation Server Core) 2008 SP2
  • Microsoft Windows Server pour les systèmes 32 bits 2008 SP2
  • Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
  • Microsoft Windows 10 21H1 pour les systèmes 32 bits
  • Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 21H1 pour les systèmes x64
  • Microsoft Windows Server 2022
  • Microsoft Windows Server (installation du noyau du serveur) 2022
  • Microsoft Windows Server pour les systèmes basés sur X64 2008 SP2
  • Microsoft Windows 11 x64
  • Microsoft Windows 11 ARM64
  • Microsoft Windows 10 21H2 pour les systèmes 32 bits
  • Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 21H2 pour les systèmes x64
  • Correctif de base Microsoft Windows Server 2022 Édition Azure

Pour la CVE-2022-30136

  • Microsoft Windows Server 2012
  • Microsoft Windows 8.1 x32
  • Microsoft Windows 8.1 x64
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2019
  • Microsoft Windows 10 1809 pour les systèmes x64
  • Microsoft Windows 10 1809 pour les systèmes 32 bits
  • Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 1607 pour les systèmes 32 bits
  • Microsoft Windows 10 1607 pour les systèmes x64
  • Microsoft Windows Server (installation du noyau du serveur) 2019
  • Microsoft Windows Server (installation du noyau du serveur) 2016
  • Microsoft Windows Server (installation Server Core) 2012 R2
  • Microsoft Windows Server (installation du noyau du serveur) 2012

Pour la CVE-2022-30163

  • Microsoft Windows 7 SP1 x64
  • Microsoft Windows Server 2012
  • Microsoft Windows 8.1 x64
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows 10 x64
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2019
  • Microsoft Windows 10 1809 pour les systèmes x64
  • Microsoft Windows 10 1607 pour les systèmes x64
  • Microsoft Windows 10 20H2 pour les systèmes x64
  • Microsoft Windows Server (installation du noyau du serveur) 2019
  • Microsoft Windows Server (installation du noyau du serveur) 20H2
  • Microsoft Windows Server (installation du noyau du serveur) 2016
  • Microsoft Windows Server (installation Server Core) 2012 R2
  • Microsoft Windows Server (installation du noyau du serveur) 2012
  • Microsoft Windows Server pour les systèmes basés sur X64 2008 R2 SP1
  • Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
  • Microsoft Windows 10 21H1 pour les systèmes x64
  • Microsoft Windows Server 2022
  • Microsoft Windows Server (installation du noyau du serveur) 2022
  • Microsoft Windows 11 x64
  • Microsoft Windows 10 21H2 pour les systèmes x64
  • Correctif de base Microsoft Windows Server 2022 Édition Azure

Pour les CVE-2022-30147 et CVE-2022-30165

  • Microsoft Windows Server 2008 SP2 x32
  • Microsoft Windows 7 SP1 x32
  • Microsoft Windows 7 SP1 x64
  • Microsoft Windows Server 2012
  • Microsoft Windows 8.1 x32
  • Microsoft Windows 8.1 x64
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows RT 8.1
  • Microsoft Windows 10 x32
  • Microsoft Windows 10 x64
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2019
  • Microsoft Windows 10 1809 pour les systèmes x64
  • Microsoft Windows 10 1809 pour les systèmes 32 bits
  • Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 1607 pour les systèmes 32 bits
  • Microsoft Windows 10 1607 pour les systèmes x64
  • Microsoft Windows 10 20H2 pour les systèmes 32 bits
  • Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 20H2 pour les systèmes x64
  • Microsoft Windows Server (installation du noyau du serveur) 2019
  • Microsoft Windows Server (installation du noyau du serveur) 20H2
  • Microsoft Windows Server (installation du noyau du serveur) 2016
  • Microsoft Windows Server (installation Server Core) 2012 R2
  • Microsoft Windows Server (installation du noyau du serveur) 2012
  • Microsoft Windows Server pour les systèmes basés sur X64 2008 R2 SP1
  • Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 SP2
  • Microsoft Windows Server pour les systèmes 32 bits (installation Server Core) 2008 SP2
  • Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
  • Microsoft Windows 10 21H1 pour les systèmes 32 bits
  • Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 21H1 pour les systèmes x64
  • Microsoft Windows Server 2022
  • Microsoft Windows Server (installation du noyau du serveur) 2022
  • Microsoft Windows Server pour les systèmes basés sur X64 2008 SP2
  • Microsoft Windows 11 x64
  • Microsoft Windows 11 ARM64
  • Microsoft Windows 10 21H2 pour les systèmes 32 bits
  • Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 21H2 pour les systèmes x64
  • Correctif de base Microsoft Windows Server 2022 Édition Azure

Pour la CVE-2022-30139

  • Microsoft Windows 10 x32
  • Microsoft Windows 10 x64
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2019
  • Microsoft Windows 10 1809 pour les systèmes x64
  • Microsoft Windows 10 1809 pour les systèmes 32 bits
  • Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 1607 pour les systèmes 32 bits
  • Microsoft Windows 10 1607 pour les systèmes x64
  • Microsoft Windows 10 20H2 pour les systèmes 32 bits
  • Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 20H2 pour les systèmes x64
  • Microsoft Windows Server (installation du noyau du serveur) 2019
  • Microsoft Windows Server (installation du noyau du serveur) 2016
  • Microsoft Windows 10 21H1 pour les systèmes 32 bits
  • Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 21H1 pour les systèmes x64
  • Microsoft Windows Server (installation du noyau du serveur) 2022
  • Microsoft Windows 11 x64
  • Microsoft Windows 11 ARM64
  • Microsoft Windows 10 21H2 pour les systèmes 32 bits
  • Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 21H2 pour les systèmes x64
  • Correctif de base Microsoft Windows Server 2022 Édition Azure

Pour la CVE-2022-30164

  • Microsoft Windows Server 2012
  • Microsoft Windows 8.1 x32
  • Microsoft Windows 8.1 x64
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows RT 8.1
  • Microsoft Windows 10 x32
  • Microsoft Windows 10 x64
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2019
  • Microsoft Windows 10 1809 pour les systèmes x64
  • Microsoft Windows 10 1809 pour les systèmes 32 bits
  • Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 1607 pour les systèmes 32 bits
  • Microsoft Windows 10 1607 pour les systèmes x64
  • Microsoft Windows 10 20H2 pour les systèmes 32 bits
  • Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 20H2 pour les systèmes x64
  • Microsoft Windows Server (installation du noyau du serveur) 2019
  • Microsoft Windows Server (installation du noyau du serveur) 20H2
  • Microsoft Windows Server (installation du noyau du serveur) 2016
  • Microsoft Windows Server (installation Server Core) 2012 R2
  • Microsoft Windows Server (installation du noyau du serveur) 2012
  • Microsoft Windows 10 21H1 pour les systèmes 32 bits
  • Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 21H1 pour les systèmes x64
  • Microsoft Windows Server 2022
  • Microsoft Windows Server (installation du noyau du serveur) 2022
  • Microsoft Windows 11 x64
  • Microsoft Windows 11 ARM64
  • Microsoft Windows 10 21H2 pour les systèmes 32 bits
  • Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64
  • Microsoft Windows 10 21H2 pour les systèmes x64
  • Correctif de base Microsoft Windows Server 2022 Édition Azure

Pour la CVE-2022-30157

  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Enterprise Server 2013 SP1
  • Microsoft SharePoint Server 2019
  • Édition d'abonnement Microsoft SharePoint Server

Solutions ou recommandations

  • Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois de juin 2022.

  • La liste complète des mises à jour de vulnérabilités du Patch Tuesday est disponible ici.

Liens