Patch Tuesday – Avril 2022 : 119 vulnérabilités et 2 zero-day
À l'occasion de ce Patch Tuesday d'Avril 2022, Microsoft a corrigé 119 failles de sécurité et 2 zero-day, sans compter les 26 vulnérabilités dans Edge. Faisons le point.
Si l'on s'intéresse de plus près à ce total de 119 failles de sécurité, on peut voir qu'il y en a 10 considérées comme critiques et qui permettent une exécution de code à distance. En fait, il y a au total 47 vulnérabilités de type "exécution de code à distance", tout comme il y a 47 vulnérabilités de type "élévation de privilèges", ainsi que d'autres failles de différents types.
En regardant de plus près cette liste de correctifs, on peut voir :
- Un total de dix-huit vulnérabilités (dont CVE-2022-26814 et CVE-2022-26817) qui touchent les serveurs DNS Windows
- Une vulnérabilité critique qui touche le protocole LDAP (CVE-2022-26919)
- Neuf vulnérabilités qui concernent Hyper-V, dont 3 failles critiques (CVE-2022-23257, CVE-2022-24537 et CVE-2022-22008)
- Deux vulnérabilités critiques dans l'implémentation de NFS sur Windows (CVE-2022-24491 et CVE-2022-24497)
- Une vulnérabilité de type "élévation de privilèges" dans PowerShell, sur toutes les versions de Windows encore sous support (CVE-2022-26788)
- Une vulnérabilité critique dans Windows RPC (CVE-2022-26809), trois au total
- Six vulnérabilités dans l'implémentation de SMB, dont deux failles critiques (CVE-2022-24541 et CVE-2022-24500)
- Quinze vulnérabilités dans les composants Spouleur d'impression de Windows
Dans cette liste, d'autres produits sont concernés : Windows RDP, Windows W32K, le noyau Windows, Windows Installer, Windows iSCSI, Windows Fax, Windows App Store, Visual Studio et Visual Studio Code, Skype for Business, Excel, PowerBI ou encore SharePoint.
Le point sur les deux failles zero-day
Ce mois-ci, la firme de Redmond a corrigé deux failles zero-day : l'une a été divulguée publiquement, tandis que l'autre est activement exploitée dans le cadre d'attaques.
- CVE-2022-26904 - Élévation de privilèges dans Windows via le service de gestion des profils utilisateurs
Il s'agit d'une faille de sécurité activement exploitée, car Microsoft a déjà tenté deux fois de la corriger, mais à chaque fois de nouvelles solutions de contournement ont vu le jour. Espérant que cette fois-ci, ce soit la bonne !
- CVE-2022-24521 - Élévation de privilèges dans Windows via un composant de génération de logs (Common Log File System)
Il s'agit de la faille de sécurité divulguée publiquement et découverte par CrowdStrike et la NSA.
Enfin, je profite de cet article pour vous rappeler que Microsoft vient d'annoncer un nouveau service baptisé Windows Autopatch dont le but est de déléguer à Microsoft le déploiement des mises à jour sur vos machines.
