Archives par mot-clé : correctifs

Correctifs : Microsoft corrige 28 vulnérabilités critiques sur 62 patchées

Correctifs massifs ! Le Patch Tuesday d’octobre est pour Microsoft l’occasion de publier des correctifs pour résoudre 62 vulnérabilités dont 30 affectent Windows. Les correctifs traitant 28 de ces vulnérabilités sont définis comme critiques. 33 vulnérabilités peuvent entraîner l’exécution de code malveillant à distance (RCE). Selon Microsoft, une vulnérabilité dans Microsoft Office est actuellement exploitée de manière active en mode aveugle.

Priorité absolue pour des correctifs massifs donc à cette vulnérabilité CVE-2017-11826 dans Microsoft Office qui est classée comme « Importante » par Microsoft. Autre priorité, la résolution de CVE-2017-11771, une vulnérabilité au sein du service de recherche Windows. Depuis début 2017, c’est le quatrième Patch Tuesday qui traite une vulnérabilité dans ce service.

Comme les fois précédentes, cette vulnérabilité peut être exploitée à distance via le protocole SMB. Il facilite la prise de contrôle total d’un système. Elle peut impacter aussi bien des serveurs que des postes de travail. Même si un exploit lancé contre cette vulnérabilité peut s’appuyer sur SMB comme vecteur d’attaque, il ne s’agit pas d’une vulnérabilité au sein de ce protocole. SMB lui-même. Aucun rapport donc avec les vulnérabilités SMB récemment exploitées par EternalBlue, WannaCry et Petya.

À noter aussi deux vulnérabilités dans la bibliothèque de polices Windows, CVE-2017-11762 et CVE-2017-11763, pouvant être exploitées via un navigateur ou un fichier malveillant, ainsi qu’une vulnérabilité dans DNSAPI, CVE-2017-11779, grâce à laquelle un serveur DNS malveillant peut exécuter du code sur un système client.
Une vulnérabilité sur certaines puces TPM est résolue grâce à l’avis de sécurité ADV170012.

Localisée dans la puce TPM elle-même, et non pas dans Windows, cette vulnérabilité peut entraîner la génération de clés cryptographiques faibles. Ces clés sont utilisées pour BitLocker, l’authentification biométrique et d’autres domaines de Windows.

Les mises à jour fournissent une solution de contournement pour les clés faibles. Une option permettant d’utiliser des clés générées par le logiciel. Une remédiation complète exige une mise à jour du firmware fournie par le fabricant de l’équipement.

La majorité des vulnérabilités traitées ce mois-ci concernent le moteur de script qui peut impacter à la fois les navigateurs et Microsoft Office.

Corriger cette vulnérabilité est une priorité sur les systèmes de type bureautique qui utilisent un navigateur pour la messagerie et pour accéder à Internet.

Mercredi 18 octobre, les chercheurs de Proofpoint ont détecté une pièce jointe Microsoft Word malveillante. Elle exploitait une vulnérabilité récemment corrigée d’Adobe Flash [CVE-2017-11292].

Pour finir, cette attaque serait l’œuvre d’APT28 (également connu sous le nom de Sofacy), un groupe parrainé par l’État russe.  Plusieurs cyberattaques leurs ont été attribuées, notamment contre TV5 Monde en 2015.

Les données de ciblage pour cette campagne sont limitées. Certains emails ont été envoyés à des entités gouvernementales et à des entreprises du secteur privé dans l’industrie aérospatiale.

Le ciblage géographique connu semble large, y compris en Europe et aux États-Unis. Vous trouverez plus de détails sur ce sujet sur le blog anglais Threat Insight de Proofpoint. Les informations seront mises à jour quotidiennement en fonction de l’évolution de la menace. (Avec Jimmy Graham dans The Laws of Vulnerabilities Qualys)

Patch Tuesday Mars 2016

Patch Tuesday Mars 2016 – Microsoft publie 13 bulletins, dont 5 sont considérés comme critiques. Même ambition de correction pour Adobe.

Ce mois-ci, la première place de notre classement du Patch Tuesday revient au bulletin MS16-023 consacré à Internet Explorer. Ce dernier résout 13 vulnérabilités, toutes classées comme critiques. L’exploitation de ces vulnérabilités critiques créé la situation la plus dangereuse, en l’occurrence l’exécution de code à distance (RCE) qui donne à l’attaquant le contrôle complet de la machine ciblée. Ces attaques contre Internet Explorer proviendraient de sites Web malveillants créés à dessein ou de sites inoffensifs servant de vecteurs et contenant les exploits destinés à infecter les visiteurs habituels.

Si vous êtes sous Windows 10 et que vous avez opté pour le navigateur Edge, le bulletin MS16-024 fait partie de vos priorités. 11 vulnérabilités au total dont 10 critiques indiquent que les chercheurs en sécurité ont concentré leur attention sur Edge, qui a lentement perdu du terrain sur Internet Explorer en termes de vulnérabilités. En décembre 2015, nous en étions encore à 30 contre 15 et maintenant, en mars, à 13 contre 11.

Le prochain bulletin sur la liste de ce Patch Tuesdsay est le MS16-029 qui contient une nouvelle version de Microsoft Word. Word est souvent utilisé pour véhiculer des exploits, à la fois dans des documents en ligne et dans des pièces jointes. Les vulnérabilités permettant à l’attaquant d’exécuter du code RCE pour contrôler les machines ciblées doivent être résolues dans les meilleurs délais.

Le groupe de vulnérabilités suivant concerne Windows Media Player (bulletin MS16-027), les polices OpenType (bulletin MS16-026) et la nouvelle visionneuse PDF Reader à partir de Windows 8 (bulletin MS16-028). Toutes ces failles sont critiques et facilitent l’exécution de code RCE. Elles s’attaquent toutes à des problèmes de formatage complexes, que ce soit dans le lecteur Windows Media Player avec le format vidéo MPEG, dans les polices OpenType avec une référence circulaire qui provoque une récursion ou dans la visionneuse PDF avec une vérification des limites qui fait défaut dans l’interpréteur PostScript. Le flot continu de vulnérabilités dans ces domaines indique le niveau de complexité des formats de médias que nous utilisons tous les jours.

Les bulletins restants résolvent des vulnérabilités classées comme « importantes ». Ces dernières entrent essentiellement en jeu lorsqu’une élévation de privilèges est sollicitée, une fois qu’une des vulnérabilités critiques a permis de s’introduire sur la machine ciblée. Vous devriez traiter ces vulnérabilités dans les 45 jours pour éviter ce type d’utilisation secondaire.

Microsoft n’est pas le seul éditeur à résoudre les problèmes de sécurité liés au format PDF. Adobe publie en effet une nouvelle version d’Adobe Reader dans sa mise à jour de sécurité APSB16-09 qui résout trois failles de sécurité critiques. Si vous utilisez Adobe Reader ou la suite Acrobat, il s’agit d’une priorité pour vous. Si vous suivez ces mises à jour, vous aurez remarqué l’absence de la mise à jour APSB16-08 (APS16-07 concernait Adobe Connect le mois dernier). Probablement une mise à jour de Flash reportée pour faire des tests supplémentaires ou y inclure un correctif de dernière minute pour une vulnérabilité en cours.

Et une première pour Apple ce mois-ci. Le célèbre client bit torrent « Transmission » a été infecté par un ransomware. Heureusement, ce client n’a été disponible en téléchargement que pour une durée de moins de 12 heures et Apple a rapidement révoqué son certificat de signature et mis à jour les signatures dans XProtect. Vérifiez néanmoins si Transmission 2.90 est sur votre réseau et isolez-le une fois découvert.

Aucune menace 0-Day ni vulnérabilité immédiatement exploitable ce mois-ci. Mais appliquez tous ces patches dès que possible et dans tous les cas. En effet, certains attaquants sont capables de convertir rapidement des vulnérabilités en exploits, souvent en moins de 10 jours. (Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities)