Résumé

[MàJ du 31 octobre 2022]

Une preuve de concept est publiquement disponible.

[Publication initiale]

Dans le cadre de son Patch Tuesday, en date du 13 septembre 2022,Microsoft a indiqué l'existence de multiples vulnérabilités au sein deplusieurs versions de Windows. Trois d'entre elles doivent faire l'objetd'une attention particulière car considérées comme critiques. Ellespossèdent un score CVSSv3 de 9.8 et sont respectivement référencées parles numéros suivants : CVE-2022-34718, CVE-2022-34721 et CVE-2022-34722.

La vulnérabilité CVE-2022-34718 permet à un attaquant non authentifiéd'envoyer un paquet IPv6 spécialement conçu à destination d'un nœudWindows, provoquant une exécution de code arbitraire à distance.

Les vulnérabilités CVE-2022-34721 et CVE-2022-34722 affectent lesextensions du protocole Windows Internet Key Exchange (IKE). Ellespermettent à un attaquant non authentifié de provoquer une exécution decode arbitraire à distance. D'après l'éditeur, bien que ces deuxvulnérabilités n'affectent que le protocole IKEv1, tous les serveursWindows seraient concernés car ils acceptent par défaut les paquets desversions 1 et 2.

Par ailleurs, il est à noter que Microsoft a également mis à dispositiondes correctifs de sécurité pour des systèmes qui ne sont plus supportés(Windows 7 et Windows Server 2008R2).

Le CERT-FR a connaissance de références publiques mettant en exergue destravaux ayant potentiellement débouché sur l'élaboration d'un coded'exploitation pour l'une de ces vulnérabilités, et citant une intentionde publication prochaine d'un article. Le CERT-FR recommande fortementd'appliquer les correctifs et, le cas échéant, de mettre en œuvre lesmoyens d'atténuation proposés par l'éditeur.