Microsoft a déployé mardi des correctifs pour autant que 74 failles de sécuritédont un pour un bogue zero-day qui est activement exploité dans la nature.
Sur les 74 problèmes, sept sont classés critiques, 66 sont classés importants et un est classé faible en gravité. Deux des failles sont répertoriées comme publiquement connues au moment de la publication.
Celles-ci englobent 24 vulnérabilités d’exécution de code à distance (RCE), 21 élévations de privilèges, 17 divulgations d’informations et six vulnérabilités de déni de service, entre autres. Les mises à jour s’ajoutent à 36 défauts corrigé dans le navigateur Microsoft Edge basé sur Chromium le 28 avril 2022.
Le principal parmi les bogues résolus est CVE-2022-26925 (score CVSS : 8,1), une vulnérabilité d’usurpation affectant l’autorité de sécurité locale de Windows (LSA), que Microsoft décrit comme un « sous-système protégé qui authentifie et connecte les utilisateurs au système local ».
« Un attaquant non authentifié pourrait appeler une méthode sur l’interface LSARPC et contraindre le contrôleur de domaine à s’authentifier auprès de l’attaquant en utilisant NTLM« , a déclaré la société. « Cette mise à jour de sécurité détecte les tentatives de connexion anonymes dans LSARPC et les interdit. »
Il convient également de noter que la cote de gravité de la faille serait élevée à 9,8 si elle devait être enchaînée avec Attaques de relais NTLM sur les services de certificats Active Directory (AD CS) tels que PetitPotam.
« Étant activement exploité dans la nature, cet exploit permet à un attaquant de s’authentifier en tant qu’utilisateurs approuvés dans le cadre d’une attaque de relais NTLM – permettant aux acteurs de la menace d’accéder aux hachages des protocoles d’authentification », Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs , mentionné.
Les deux autres vulnérabilités connues du public sont les suivantes :
- CVE-2022-29972 (Score CVSS : 8,2) – Insight Software : CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver (alias SynLapse)
- CVE-2022-22713 (Score CVSS : 5,6) – Vulnérabilité de déni de service Windows Hyper-V
Microsoft, qui a corrigé CVE-2022-29972 le 15 avril, l’a étiqueté comme « Exploitation plus probable » sur l’indice d’exploitabilité, obligeant les utilisateurs concernés à appliquer les mises à jour dès que possible.
Redmond a également corrigé plusieurs bogues RCE dans Windows Network File System (CVE-2022-26937), WindowsLDAP (CVE-2022-22012, CVE-2022-29130), graphiques Windows (CVE-2022-26927), noyau Windows (CVE-2022-29133), Exécution d’appel de procédure distante (CVE-2022-22019) et Visual Studio Code (CVE-2022-30129).
Cyber-Kunlun, une société de cybersécurité basée à Pékin, a été crédité d’avoir signalé 30 des 74 défautsen comptant CVE-2022-26937, CVE-2022-22012 et CVE-2022-29130.
De plus, CVE-2022-22019 fait suite à un correctif incomplet pour trois vulnérabilités RCE dans la bibliothèque d’exécution Remote Procedure Call (RPC) – CVE-2022-26809, CVE-2022-24492 et CVE-2022-24528 – qui ont été corrigées par Microsoft en avril 2022.
L’exploitation de la faille permettrait à un attaquant distant non authentifié d’exécuter du code sur la machine vulnérable avec les privilèges du service RPC, Akamai mentionné.
La mise à jour Patch Tuesday est également remarquable pour la résolution de deux élévations de privilèges (CVE-2022-29104 et CVE-2022-29132) et deux divulgations d’informations (CVE-2022-29114 et CVE-2022-29140) vulnérabilités du composant Print Spooler, qui constitue depuis longtemps une cible attrayante pour les attaquants.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment —