Lors de son dernier Patch Tuesday, le 10 mai, Microsoft a corrigé 74 vulnérabilités. Au moins une d’entre elles est activement exploitée par les cybercriminels. Vous devez installer les correctifs dès que possible.
CVE-2022-26925 – la vulnérabilité la plus dangereuse
Apparemment, CVE-2022-26295 est la vulnérabilité la plus dangereuse que ce pack de mises à jour a corrigé, et elle se trouve dans l’autorité de sécurité locale (SLA) de Windows. Pourtant, cette faille n’obtient un score CVSS que de 8.1, ce qui est relativement bas. Les représentants de Microsoft considèrent tout de même que lorsque cette vulnérabilité est exploitée lors d’attaques par relais NTLM qui visent les services de certificats Active Directory (ADCS), la gravité augmente et la faille obtient un score CVSS de 9.8. Si la faille est considérée comme plus dangereuse dans cette situation c’est parce que CVE-2022-26925 pourrait permettre aux cybercriminels de forcer l’authentification d’un contrôleur de domaine.
Cette vulnérabilité peut affecter tous les systèmes d’exploitation Windows, à partir de Windows 7 (Windows Server 2008 pour les systèmes serveurs) et les versions ultérieures. Microsoft n’est pas entré dans les détails d’exploitation de cette vulnérabilité. Pourtant, à en juger par la description du problème, des cybercriminels anonymes exploitent activement CVE-2022-26295. La bonne nouvelle est que, selon les experts, l’exploitation de cette vulnérabilité est très difficile dans le monde réel.
Le correctif détecte les tentatives de connexion anonymes à l’interface Local Security Authority Remote Procedure Call (LSARPC) et les interdit. Selon le forum aux questions officiel, l’installation de cette mise à jour sur Windows Server 2008 SP2 pourrait affecter le programme de sauvegarde.
D’autres vulnérabilités
En plus de CVE-2022-26295, les dernières mises à jour corrigent d’autres vulnérabilités considérées comme » critiques « . On trouve notamment la vulnérabilité RCE CVE-2022-26937 dans le service Network File System (NFS) de Windows, et les failles CVE-2022-22012 et CVE-2022-29130, deux vulnérabilités RCE dans le service LDAP.
Deux autres vulnérabilités étaient déjà publiquement connues lors de la sortie des correctifs : CVE-2022-29972, un bug dans le pilote ODBC Magnitude Simba Amazon Redshift, et CVE-2022-22713, une vulnérabilité de déni de service dans l’Hyper-V de Windows. Pourtant, aucune tentative d’exploitation n’a été détectée pour le moment.
Comment vous protéger
Tout d’abord, vous devez installer les dernières mises à jour de Microsoft. Si cela s’avère impossible dans votre environnement, consultez la section Forum aux questions, atténuations et solutions de contournement du guide de Mises à jour de sécurité de mai 2022 sur le site officiel de Microsoft. Avec un peu de chance, vous pourrez utiliser une des méthodes décrites pour protéger votre infrastructure contre les vulnérabilités.
Quant à nous, nous vous conseillons de protéger chaque appareil connecté à Internet en installant une [KESB placeholder]solution de sécurité fiable[/KESB placeholder] capable de détecter l’exploitation de vulnérabilités jusque-là inconnues.