Patch Tuesday Juillet 2022

Microsoft corrige 84 vulnérabilités dont 4 critiques, ainsi que 2 concernant Microsoft Edge (basé sur Chromium). Adobe publie 4 avis de sécurité et corrige 27 vulnérabilités dont 18 critiques.

Microsoft a corrigé en ce mois de juillet 2022 pas moins de 84 vulnérabilités. Quatre sont classées comme critiques car facilitant une exécution de code à distance (RCE).

La mise à jour cumulative de Windows dans le cadre du Patch Tuesday de ce mois comprend le correctif pour une vulnérabilité Zero-Day (CVE-2022-22047) activement exploitée. Le 06 juillet 2022, Microsoft a également publié deux mises à jour de sécurité pour Microsoft Edge (sur Chromium) .

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et de falsification ainsi que dans Microsoft Edge (sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Classement des vulnérabilités corrigées par Microsoft en juillet 2022

Déni de Service

5

Importante

5

Élévation de privilèges

50

Importante

50

Divulgation d’informations

11

Importante

11

Microsoft Edge (basé sur Chromium)

2

N/A

2

Exécution de code à distance

12

Critique

4

Importante

8

Contournement des fonctions de sécurité

4

Importante

4

Falsification

2

Importante

2

CVE-2022-22047 Vulnérabilité d’élévation de privilèges dans le composant CSRSS Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10. Élévation de privilèges – Important – L’attaquant qui parvient à exploiter cette vulnérabilité peut obtenir des privilèges SYSTEM (Article 5015874). Évaluation d’exploitabilité : Exploitation détectée

Zoom sur les vulnérabilités Microsoft critiques et importantes

L’avis de sécurité du mois concerne de nombreuses familles de produits Microsoft, dont Azure, le navigateur, les mises à jour de sécurité étendue (ESU), Microsoft Dynamics, Microsoft Office, System Center et Windows. Au total 63 produits/versions Microsoft sont concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement) et Security Update (Mise à jour de sécurité).

CVE-2022-30221 | Vulnérabilité d’exécution de code à distance dans le composant graphique de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour l’exploiter, l’attaquant doit d’abord convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant exécutera du code sur le système de l’utilisateur ciblé. Seuls Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 sont affectés par cette vulnérabilité si RDP 8.0 ou RDP 8.1 est installé. Si aucune de ces deux versions de RDP n’est installée sur Windows 7 SP1 ou Windows Server 2008 R2 SP1, vous n’êtes pas concernés par cette vulnérabilité. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22029 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données en mode permanent ou intermittent. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22038 | Vulnérabilité d’exécution de code à distance au niveau du runtime d’appel de procédure à distance (RPC)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données de manière permanente ou intermittenteÉvaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22039 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit gagner une situation de course. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Évaluation d’exploitabilité : Exploitation moins probable

Autres vulnérabilités Microsoft majeures

Début juillet, Microsoft a publié des correctifs pour les vulnérabilités CVE-2022-2294 et CVE-2022-2295 dans Microsoft Edge (sur Chromium). La vulnérabilité attribuée à chacune de ces CVE est présente dans le logiciel Open Source (OSS) Chromium utilisé par Microsoft Edge. Elle est décrite dans le guide des mises à jour de sécurité pour signaler que la toute dernière version de Microsoft Edge (sur Chromium) n’est plus vulnérable. Pour plus d’information cf Security Update Guide Supports CVEs Assigned by Industry Partners