Microsoft publie un correctif pour les contrôleurs de domaine

Microsoft a publié un correctif hors bande pour un problème sur les contrôleurs de domaine Windows qui pourrait entraîner des échecs de connexion ou d’autres problèmes d’authentification Kerberos.

Publié le mois dernier, le correctif résout la vulnérabilité CVE-2022-37966, une vulnérabilité d’escalade de privilèges en raison d’une faible négociation Kerberos RC4-HMAC.

La mise à jour – qui remplace une mise à jour publiée le 8 novembre dans les correctifs réguliers du mardi des correctifs – définira AES comme type de cryptage par défaut pour les clés de session sur les comptes qui ne sont pas déjà marqués avec un type de cryptage par défaut.

La mise à jour hors bande s’applique à toutes les versions de Windows Server de 2008 à 2022.

Microsoft évalue la complexité de la vulnérabilité comme élevée. « Une attaque réussie dépend de conditions indépendantes de la volonté de l’attaquant », indique la société dans une note explicative. « C’est-à-dire qu’une attaque réussie ne peut pas être accomplie à volonté, mais nécessite que l’attaquant investisse dans une quantité mesurable d’efforts dans la préparation ou l’exécution contre le composant vulnérable avant qu’une attaque réussie puisse être attendue. Par exemple, une attaque réussie peut nécessiter qu’un attaquant : recueille des informations sur l’environnement dans lequel la cible/le composant vulnérable existe ; prépare l’environnement cible pour améliorer la fiabilité de l’exploit ; ou s’injecte dans le chemin réseau logique entre la cible et la ressource demandée par la victime afin de lire et/ou de modifier les communications réseau (par exemple, par une attaque “man-in-the-middle”). »

Les administrateurs n’ont pas besoin d’installer de mises à jour ni d’apporter des modifications aux serveurs autres que les contrôleurs de domaine ou aux appareils clients de leur environnement pour résoudre ce problème.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Microsoft frappée par une panne globale d’Azure

Tôt hier matin, les clients du monde entier, à l'exception de ceux de la Chine, ont perdu l'accès à Microsoft Azure, ainsi qu'à des services tels qu'Outlook, Exchange Online et Teams. La société a attribué les problèmes à une mise à jour de son réseau étendu mondial (WAN), qu'elle a annulée.

Balado Hashtag Tendances, 26 janvier 2023 — Poursuites contre Google et Twitter, des médicaments à 5 $ et Windows 10 plus disponible

Cette semaine : Les États-Unis poursuivent Google, Twitter poursuivie pour non-paiement du loyer, des médicaments illimités pour 5 dollars et la fin des ventes de Windows 10.

Microsoft renforce son partenariat avec OpenAI

Microsoft a annoncé hier qu'elle entamait la troisième phase de son partenariat avec la société d'intelligence artificielle OpenAI, après des investissements en 2019 et 2021.

Microsoft va cesser la vente de licences Windows 10

Microsoft poursuit ses efforts pour l'adoption de Windows 11 en annonçant discrètement qu'elle cessera de vendre des licences Windows 10 le 31 janvier, bien que le système d'exploitation continue d'être pris en charge avec des mises à jour de sécurité jusqu'au 14 octobre 2025.

Un « atlas du cybercrime » aidera la police et les entreprises technologiques à combattre les cybercriminels

Microsoft et Fortinet font partie des entreprises technologiques soutenant le lancement officiel d'un effort visant à cartographier les activités cybercriminelles et à identifier les réponses conjointes des secteurs public et privé aux cybermenaces.