Résumé
[MàJ du 31 octobre 2022]
Une preuve de concept est publiquement disponible.
[Publication initiale]
Dans le cadre de son Patch Tuesday, en date du 13 septembre 2022,
Microsoft a indiqué l'existence de multiples vulnérabilités au sein de
plusieurs versions de Windows. Trois d'entre elles doivent faire l'objet
d'une attention particulière car considérées comme critiques. Elles
possèdent un score CVSSv3 de 9.8 et sont respectivement référencées par
les numéros suivants : CVE-2022-34718, CVE-2022-34721 et CVE-2022-34722.
La vulnérabilité CVE-2022-34718 permet à un attaquant non authentifié
d'envoyer un paquet IPv6 spécialement conçu à destination d'un nœud
Windows, provoquant une exécution de code arbitraire à distance.
Les vulnérabilités CVE-2022-34721 et CVE-2022-34722 affectent les
extensions du protocole Windows Internet Key Exchange (IKE). Elles
permettent à un attaquant non authentifié de provoquer une exécution de
code arbitraire à distance. D'après l'éditeur, bien que ces deux
vulnérabilités n'affectent que le protocole IKEv1, tous les serveurs
Windows seraient concernés car ils acceptent par défaut les paquets des
versions 1 et 2.
Par ailleurs, il est à noter que Microsoft a également mis à disposition
des correctifs de sécurité pour des systèmes qui ne sont plus supportés
(Windows 7 et Windows Server 2008R2).
Le CERT-FR a connaissance de références publiques mettant en exergue des
travaux ayant potentiellement débouché sur l'élaboration d'un code
d'exploitation pour l'une de ces vulnérabilités, et citant une intention
de publication prochaine d'un article. Le CERT-FR recommande fortement
d'appliquer les correctifs et, le cas échéant, de mettre en œuvre les
moyens d'atténuation proposés par l'éditeur.