Patch Tuesday – Juin 2022 : Microsoft a corrigé 55 vulnérabilités et 1 zero-day
Microsoft a mis en ligne son traditionnel Patch Tuesday et cette fois-ci, il permet de corriger 55 vulnérabilités dont la faille de sécurité zero-day au sein de Windows MSDT baptisée Follina. À cela s'ajoutent 5 vulnérabilités corrigées dans Microsoft Edge.
Parmi ces 55 failles de sécurité, 3 sont considérées comme critiques tandis que toutes les autres vulnérabilités corrigées sont considérées comme importantes. Au total, nous avons 12 failles de type "élévation de privilèges" et 27 failles de type "exécution de code à distance". Pour le reste, c'est varié. Ce qui est important, c'est que Microsoft a corrigé la faille de sécurité Follina exploitée à partir de documents Word malveillants et révélée récemment.
Ce Patch Tuesday concerne différents produits de chez Microsoft et une quantité importante de composants Windows : .NET et Visual Studio (CVE-2022-30184), Microsoft Office à plusieurs reprises, la librairie Windows Codecs, le rôle Hyper-V, Windows Autopilot, Windows Defender, Windows EFS, Windows NFS, Windows PowerShell, l'implémentation du SMB dans Windows, Windows Installer, Windows iSCSI, le noyau Windows, l'implémentation de Kerberos dans Windows, ou encore le LDAP touché par 7 failles de sécurité.
Si l'on s'intéresse aux vulnérabilités critiques, nous avons :
- CVE-2022-30136 - NFS
Cette vulnérabilité permet une exécution de code à distance sur un serveur Windows et elle hérite d'un score CVSSv3 de 9.8 sur 10 ! Le bulletin de sécurité de Microsoft précise que cette vulnérabilité n'est pas exploitable dans NFS v2.0 ou NFS v3.0. En attendant d'installer la mise à jour de juin 2022, et si vous avez installé la mise à jour de mai 2022, vous pouvez désactiver le protocole NFS v4.1 avec cette commande PowerShell (attention aux effets de bords si vous utilisez NFS) :
Set-NfsServerConfiguration -EnableNFSV4 $false
Pour rappel, NFS n'est pas installé par défaut sur Windows Server. Cette vulnérabilité touche les versions de Windows Server de Windows Server 2012 à Windows Server 2019.
- CVE-2022-30139 - LDAP
Cette faille de sécurité permet une exécution de code à distance sur un serveur ou un poste de travail Windows et elle hérite d'un score CVSSv3 de 7.5 sur 10. Elle concerne toutes les versions de Windows 10 encore prises en charge, Windows 11, ainsi que Windows Server 2016, Windows Server 2019 et Windows Server 2022.
Découverte par Yuki Chen de Cyber KunLun, cette faille de sécurité ne s'exploite pas facilement et nécessite une configuration spécifique. Dans son bulletin de sécurité, Microsoft précise : "Cette vulnérabilité n'est exploitable que si la politique LDAP MaxReceiveBuffer est définie à une valeur supérieure à la valeur par défaut. Les systèmes ayant la valeur par défaut ne sont pas vulnérables.".
- CVE-2022-30163 - Hyper-V
Terminons par la troisième faille critique, dans Hyper-V cette fois-ci. Elle aussi permet une exécution de code à distance et elle a un score CVSSv3 de 8.5 sur 10. Toutes les versions de Windows sont touchées par cette faille de sécurité.
Vous allez me dire, c'est bizarre, car Hyper-V ne s'installe pas sur tous les systèmes... En fait, pour exploiter cette vulnérabilité, un attaquant doit exécuter une application spécialement conçue au sein d'une VM Hyper-V qui pourrait permettre d'exécuter du code arbitraire sur l'hôte physique Hyper-V. Au sein de la VM, l'attaquant a besoin d'un simple compte utilisateur pour exploiter la vulnérabilité.
À vos mises à jour !
Restez connectés, je vous prépare d'autres articles au sujet des mises à jour qui viennent de sortir, notamment pour Windows 10 et Windows 11 !