C'est un patch tuesday bien garni que Microsoft a publié pour ce mois d'avril. En tout, pas moins de 117 failles ont en effet été comblées dans de très nombreux produits et composants incluant Windows, Defender, Dynamics, Exchange, Office, Hyper-V, .NET, Visual Studio... Sans compter Edge qui fait grimper à plus de 140 le nombre de vulnérabilités corrigées. Dans cette salve, deux failles menant à des élévations de privilèges méritent une attention particulière. Une déjà exploitée la CVE-2022-24521, relative au pilote Windows Common Log File System. Et une deuxième faille rendue publique mais non encore exploitée à ce jour, la CVE-2022-26904 touchant le service Profil utilisateur de Windows.

La vulnérabilité zero-day activement exploitée a été signalée par le chercheur en sécurité Abdelhamid Naceri. Microsoft avait précédemment tenté de la corriger par deux fois après la découverte de contournements de correctifs mais la troisième tentative a donc été la bonne. « Microsoft a corrigé CVE-2022-24521, une vulnérabilité d'élévation de privilège dans le pilote Windows Common Log File System qui a reçu un score CVSSv3 de 7,8 et qui a été exploitée en tant que zero day », a confirmé Claire Tills, ingénieur de recherche senior de Tenable. « Bien qu'aucune information supplémentaire ne soit disponible sur l'exploitation de CVE-2022-24521, nous savons que CrowdStrike et la NSA sont impliqués dans sa découverte ». Concernant la deuxième vuln CVE-2022-26904, elle nécessite des conditions particulières pour être exploitées, mais il est bien sûr fortement conseillé d'installer les mises à jour de sécurité dès que possible.

Un score CVSS 9.8 pour la CVE-2022-26809 

Parmi les 10 failles critiques recensées, les entreprises doivent se montrer également vigilantes concernant notamment la CVE-2022-26809 permettant l'exécution de code malveillant à distance au niveau du RPC Runtime Library. « Ce bogue est classé CVSS 9.8 avec un indice d'exploit probable. La vulnérabilité pourrait permettre à un attaquant distant d'exécuter du code avec des privilèges élevés sur un système affecté. Puisqu'aucune interaction de l'utilisateur n'est requise, ces facteurs se combinent pour transformer ce vecteur d'attaque en ver entre les machines où RPC peut être atteint. Cependant, le port statique utilisé ici (port TCP 135) est généralement bloqué dans le périmètre réseau. Pourtant, ce bug pourrait être utilisé pour du mouvement latéral par un attaquant. Testez et déployez rapidement ce correctif », ont prévenu les chercheurs de la Zero Day Initiative.