Microsoft Patch TUESDAY – Avril 2022

Satnam Narang, Staff Research Engineer chez Tenable, commente l’essentiel en quelques minutes et précise que la version Patch Tuesday d’avril comprend des correctifs pour 73 CVE, dont six sont jugées critiques, 66 importantes et une faible.

Une vulnérabilité d’usurpation dans l’autorité de sécurité locale de Windows
Microsoft a corrigé la CVE-2022-26925, une vulnérabilité d’usurpation dans l’autorité de sécurité locale (LSA) de Windows. Selon Microsoft, cette vulnérabilité a été exploitée dans la nature comme une Zero Day.

Bien que la faille soit considérée comme importante et qu’un score CVSSv3 de 8.1 lui ait été attribué, si cette vulnérabilité est enchaînée avec d’autres attaques de relais NTLM comme PetitPotam, le score CVSSv3 passe à 9.8, ce qui fait passer la gravité de cette faille à critique. La complexité de l’exploitation de cette faille est considérée comme élevée car l’exploitation nécessite qu’un attaquant soit assis en tant qu’attaquant au milieu.

En plus de la correction de cette faille, les entreprises devraient se référer à KB5005413 pour les moyens d’atténuer les attaques de relais NTLM contre les services de certification Active Directory (AD CS). 

Des vulnérabilités de Windows Print Spooler
De plus, plusieurs vulnérabilités de Windows Print Spooler ont été corrigées ce mois-ci, notamment

• deux failles de divulgation d’informations (CVE-2022-29114, CVE-2022-29140)
• deux failles d’élévation de privilèges (CVE-2022-29104, CVE-2022-29132).

Toutes les failles sont considérées comme importantes, et deux des trois failles sont considérées comme plus susceptibles d’être exploitées.

Le spouleur d’impression de Windows reste une cible de choix pour les attaquants depuis la divulgation de PrintNightmare il y a près d’un an.

Les failles d’élévation de privilèges, en particulier, doivent être soigneusement classées par ordre de priorité, car nous avons vu des groupes de ransomware comme Conti les privilégier dans le cadre de leur stratégie.