Dans le cadre de son rendez-vous du deuxième mardi du mois, Microsoft corrige 73 vulnérabilités de sécurité. Parmi celles-ci, une faille 0day présentée comme une vulnérabilité d’usurpation d’identité dans Windows LSA. LSA fait référence à Local Security Authority.
Microsoft prévient de la détection d’une exploitation active dans des attaques, mais n’attribue pas à cette vulnérabilité référencée CVE-2022-26925 un niveau de dangerosité critique. Pour autant, la société de cybersécurité Tenable met en garde.
» Bien que la faille soit considérée comme importante et qu’un score CVSSv3 de 8.1 lui ait été attribué, si cette vulnérabilité est enchaînée avec d’autres attaques de relais NTLM (ndlr : protocole d’authentification NT Lan Manager), le score CVSSv3 passe à 9.8, ce qui fait passer la gravité de cette faille à critique. «
Un scénario d’attaque complexe
Selon Microsoft, le scénario d’attaque de type man-in-the-middle est complexe. » L’attaquant doit s’injecter dans le chemin logique du réseau entre la cible et la ressource demandée par la victime afin de lire ou de modifier les communications du réseau. » La mise à jour de sécurité détecte des tentatives de connexion anonyme dans LSARPC – un ensemble d’appels via RPC au système Local Security Authority – et les interdit.
Dans un autre registre, Tenable attire l’attention sur des corrections de vulnérabilités touchant Windows Print Spooler. Le spooler d’impression de Windows (pour la gestion des tâches d’impression) est désormais souvent pris pour cible par des attaquants, et notamment par des groupes de ransomware dans leurs divers scénarios d’attaque.
À noter par ailleurs que ce Patch Tuesday de mai signe la fin de service ou support pour la version 20H2 de Windows 10.