Multiples vulnérabilités dans Microsoft Windows Defender

Date de publication :

Credential Guard est une technologie de Windows Defender qui permet d’isoler les identifiants sauvegardés dans un processus virtualisé, non accessible au reste du système d’exploitation. Des appels de procédure distante sont utilisés pour communiquer avec le processus isolé.

CVE-2022-34711[Score CVSS v3.1: 7.8]
Un défaut dans le Credential Guard de Windows Defender permet à un attaquant local et authentifié, en exécutant un programme spécifiquement forgé, d’exécuter du code arbitraire avec des privilèges plus élevés.

CVE-2022-35822[Score CVSS v3.1: 7.1]
Un défaut dans le Credential Guard de Windows Defender permet à un attaquant local et authentifié, en exploitant cette vulnérabilité, de contourner la fonctionnalité de sécurité du Kerberos de Defender Credential Guard.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Élévation de privilèges
  • Contournement d’une fonctionnalité de sécurité

Criticité

  • Score CVSS v3.1: 7.8 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

En cours de Recherche

Détails sur l’exploitation

Pour la CVE-2022-34711

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-35822

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour les CVE-2022-34711 et CVE-2022-35822

  • Microsoft Windows Server (installation du noyau du serveur) 2016
  • Microsoft Windows Server 2016
  • Microsoft Windows 10 1607 pour les systèmes x64 version Entreprise ou Éducation
  • Microsoft Windows 10 x64 version Entreprise ou Éducation
  • Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64 version Entreprise ou Éducation
  • Microsoft Windows 10 21H1 pour les systèmes x64 version Entreprise ou Éducation
  • Microsoft Windows 11 x64 version Entreprise ou Éducation
  • Microsoft Windows 11 ARM64 version Entreprise ou Éducation
  • Microsoft Windows Server (installation du noyau du serveur) 20H2
  • Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64 version Entreprise ou Éducation
  • Microsoft Windows 10 20H2 pour les systèmes x64 version Entreprise ou Éducation
  • Microsoft Windows Server (installation du noyau du serveur) 2022
  • Microsoft Windows Server 2022
  • Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64 version Entreprise ou Éducation
  • Microsoft Windows 10 21H2 pour les systèmes x64 version Entreprise ou Éducation
  • Microsoft Windows Server (installation du noyau du serveur) 2019
  • Microsoft Windows Server 2019
  • Microsoft Windows 10 1809 pour les systèmes basés sur ARM64 version Entreprise ou Éducation
  • Microsoft Windows 10 1809 pour les systèmes x64 version Entreprise ou Éducation

Solutions ou recommandations

  • Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois d’aout 2022.

  • La liste complète des mises à jour de vulnérabilités du Patch Tuesday est disponible ici.

  • Pour Windows 10 20H2, 21H1 et 21H2, appliquer la mise à jour cumulative KB5016616.

  • Pour Windows 11, appliquer la mise à jour cumulative KB5016629.

Liens