Archives par mot-clé : Patch Tuesday

130 failles corrigées en juillet pour Microsoft

Le Patch Tuesday de ce mois de juillet comprend des correctifs pour 130 CVE, ce qui en fait le plus vaste Patch Tuesday de l’année 2023 jusqu’à présent. Sur les 130 CVE corrigées ce mois-ci, neuf sont jugées critiques et 121 importantes. Ce mois-ci, cinq vulnérabilités ont été exploitées par des hackers sous forme de zero days et Microsoft a publié une alerte concernant l’utilisation malveillante de Microsoft Signed Drivers. »

« Deux vulnérabilités zero-day de contournement des fonctionnalités de sécurité dans Microsoft Outlook (CVE-2023-35311) et Windows SmartScreen (CVE-2023-32049) ont été exploitées dans la nature par des attaquants. Les détails de l’exploitation n’étaient pas disponibles au moment de la publication des mises à jour du Patch Tuesday, mais il semble que les attaquants aient pu avoir recours à l’ingénierie sociale pour convaincre une cible de cliquer sur une URL malveillante. Dans les deux cas, les messages d’avertissement de sécurité conçus pour protéger les utilisateurs ont été contournés. » indique à DataSecurityBreach.fr Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des chercheurs du Threat Analysis Group (TAG) de Google ont révélé un zero day dans le Windows Error Reporting de Microsoft (CVE-2023-36874) qui pourrait permettre à un attaquant de bénéficier de privilèges administratifs. En outre, le Microsoft Threat Intelligence Center (MSTIC) a révélé un zero day dans Windows MSHTML Platform (CVE-2023-32046). Pour exploiter cette faille, il faut convaincre un utilisateur d’ouvrir un fichier spécialement conçu, soit par mail, soit par l’intermédiaire d’un vecteur d’attaque en ligne. Il est également intéressant de noter la présence de mises à jour cumulatives pour Internet Explorer. Malgré l’abandon d’Internet Explorer 11, certains de ses composants, dont MSHTML et EdgeHTML, sont toujours pris en charge par plusieurs versions de Windows Server, ce qui explique pourquoi des correctifs ont été publiés pour ces produits.

Microsoft a également corrigé la CVE-2023-36884, une faille d’exécution de code à distance dans Microsoft Windows et Office qui a été exploitée dans la nature en tant que zero day, et qui a été utilisée dans des attaques ciblées via des documents Microsoft Office corrompus. Ces attaques ont été attribuées à un acteur malveillant connu sous le nom de Storm-0978 ou DEV-0978, qui serait basé en Russie. Storm-0978 est connu pour mener des attaques de ransomware et d’extorsion uniquement, y compris des campagnes de vol d’informations d’identification, contre des cibles en Ukraine, en Amérique du Nord et en Europe.

Enfin, Microsoft a également publié des conseils concernant l’utilisation malveillante de pilotes signés dans le cadre de son programme Microsoft Windows Hardware Developer Program (MWHDP). Il est apparu que certains comptes de développeurs du Microsoft Partner Center soumettaient des pilotes malveillants afin d’obtenir une signature Microsoft. L’utilisation abusive de ces pilotes signés a été découverte dans le cadre d’une activité de post-exploitation, qui exigeait qu’un attaquant obtienne d’abord des privilèges administratifs sur le système ciblé avant d’exécuter les pilotes signés malveillants. Ces comptes de développeurs ont été suspendus et, grâce aux récentes mises à jour de sécurité de Windows, les pilotes malveillants sont désormais considérés comme non fiables.

Faille Microsoft exploitée par des pirates informatiques

En février 2023, a été identifié une attaque exploitant une vulnérabilité zero-day dans le Common Log File System (CLFS) de Microsoft. La faille a été exploitée par les pirates informatiques de Nokoyawa.

Les pirates rançonneurs du groupe Nokoyawa ont exploité, en février, un 0Day que Microsoft vient de corriger. La faille a été attribuée à la CVE-2023-28252. Les cybercriminels ont utilisé un exploit développé pour s’adapter à différentes versions du système d’exploitation Windows, y compris Windows 11, et ont tenté de déployer le ransomware Nokoyawa.

Bien que la plupart des vulnérabilités découvertes exploitées par des groupes APT, cette attaque a été menée par un groupe sophistiqué de cybercriminels qui ont utilisé des exploits similaires mais uniques du Common Log File System.

Le groupe de cybercriminels qui a mené cette attaque se distingue par l’utilisation d’exploits similaires mais uniques du Common Log File System (CLFS) – Kaspersky en a relevé au moins cinq. Ils ont été utilisés dans des attaques ciblant divers secteurs, tels que le commerce de détail et de gros, l’énergie, l’industrie manufacturière, les soins de santé et le développement de logiciels. Bien que ces vulnérabilités soient souvent exploitées par des groupes APT, ce groupe de cybercriminels a prouvé qu’il était également capable d’utiliser des vulnérabilités zero-day pour mener des attaques par ransomware.

La CVE-2023-28252 a été repérée pour la première fois lors d’une attaque visant à déployer une nouvelle version du ransomware Nokoyawa. Les anciennes variantes de ce ransomware n’étaient que des variantes revisitées du ransomware JSWorm, mais dans l’attaque citée ici, la variante Nokoyawa est très différente de JSWorm en termes de code base.

Les attaquants ont utilisé la vulnérabilité CVE-2023-28252 pour élever les privilèges et voler des informations d’identification dans la base de données SAM (Security Account Manager).

Microsoft a corrigé la CVE-2023-28252 lors du Patch Tuesday d’avril 2023. Cette CVE a été la seule faille exploitée par des pirates. Sur les 97 CVE corrigées ce mois-ci, Microsoft a classé près de 90 % des vulnérabilités comme étant moins susceptibles d’être exploitées, tandis que seulement 9,3 % des failles ont été classées comme étant plus susceptibles d’être exploitées.

Le CVE-2023-28252 et le second 0day d’élévation de privilèges du CLFS exploité cette année, et du quatrième au cours des deux dernières années. Il s’agit également du deuxième 0Day CLFS divulgué à Microsoft par des chercheurs de Mandiant et DBAPPSecurity.

D’autres pirates exploitent des 0day, comme ce fût le cas, en février 2023, avec les pirates informatiques du groupe Cl0P. Plusieurs dizaines d’entreprises vont se faire piéger.

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23376

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37969

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24521

Patch Tuesday mars 2023

Le Mardi des Correctifs de Microsoft (Patch Tuesday) résout plusieurs vulnérabilités critiques, dont certaines doivent être traitées en priorité et sont activement exploitées, y compris celles liées aux correctifs des vulnérabilités TPM2.0.

Sur les 101 vulnérabilités résolues, 9 sont considérées comme des failles critiques, dont deux zero-day exploitées activement. Le premier 0Day, CVE-2023-23397, est une faille critique dans le serveur Microsoft Exchange. Un attaquant distant authentifié peut l’exploiter en envoyant un simple e-mail se faisant passer pour la victime, permettant ainsi d’accéder à d’autres services utilisant le hachage Net-NTLMv2.

Le second 0Day, CVE-2023-24880, est une vulnérabilité permettant de contourner les fonctions de sécurité. Ces vulnérabilités sont couramment utilisées par les attaquants ou les logiciels malveillants pour esquiver la protection « mark of the web », qui ouvre un document/fichier en mode lecture seule. Un attaquant exploite actuellement cette vulnérabilité pour distribuer des fichiers MSI (Microsoft Installer) malveillants.

En plus de ces vulnérabilités, Microsoft a également résolu trois failles critiques d’exécution de code à distance sans authentification, affectant les protocoles HTTP, ICMP et RPC. Toutes ces vulnérabilités sont classées avec un score CVSSvs de 9,8, indiquant un risque d’exploitation significativement élevé. Par ailleurs, Microsoft a fourni deux correctifs critiques pour les spécifications de la bibliothèque de référence TPM2.0 dans les pilotes tiers. La technologie Trusted Platform Module (TPM) est conçue pour offrir des fonctions matérielles liées à la sécurité et est principalement utilisée pour évaluer l’intégrité du système.

CVE-2023-23397 est une vulnérabilité EoP dans Microsoft Outlook qui a été exploitée dans la nature. Alors que nous recherchons souvent des vulnérabilités dans Outlook qui peuvent être déclenchées par la fonctionnalité du volet de prévisualisation du logiciel, un attaquant pourrait exploiter cette vulnérabilité en envoyant simplement un e-mail à une cible potentielle.

En effet, la vulnérabilité est déclenchée du côté du serveur de messagerie, ce qui signifie que l’exploitation se produirait avant que la victime ne consulte l’e-mail malveillant. Un attaquant pourrait exploiter cette vulnérabilité pour divulguer le hachage Net-NTLMv2 d’un utilisateur et mener une attaque de type relais NTLM afin de s’authentifier à nouveau en tant qu’utilisateur. « Cette vulnérabilité est notamment attribuée à la Computer Emergency Response Team of Ukraine (CERT-UA), ce qui pourrait signifier qu’elle a pu être exploitée dans la nature contre des cibles ukrainiennes. Les équipes de recherche de Microsoft ont également été créditées de la découverte de cette faille. » confirme la société Tenable.

CVE-2023-24880 est un contournement de la fonction SmartScreen intégrée à Windows qui fonctionne avec sa fonctionnalité Mark of the Web (MOTW) pour marquer les fichiers téléchargés depuis internet. Cette faille a été exploitée dans la nature et divulguée publiquement avant qu’un correctif ne soit disponible.

Un attaquant peut créer un fichier spécialement conçu pour exploiter cette faille, ce qui permet de contourner les fonctions de sécurité MOTW, telles que Microsoft Office Protected View.

Cette faille a été attribuée à des chercheurs de Microsoft (Bill Demirkapi) et du Threat Analysis Group de Google (Benoît Sevens et Vlad Stolyarov).

Mardi des Correctifs

Le Patch Tuesday, également appelé Mardi des Correctifs, est un concept introduit par Microsoft en 2003 pour simplifier et rationaliser le processus de mise à jour des logiciels. Il s’agit d’un calendrier régulier, où Microsoft publie des mises à jour de sécurité pour ses produits le deuxième mardi de chaque mois. L’objectif principal de cette initiative est de fournir un calendrier prévisible et fiable pour les administrateurs système et les utilisateurs, afin qu’ils puissent planifier et appliquer ces mises à jour de manière efficace.

La mission du Patch Tuesday est de protéger les utilisateurs et les organisations contre les vulnérabilités et les menaces de sécurité qui pourraient affecter les logiciels et les systèmes Microsoft. Les mises à jour de sécurité comprennent généralement des correctifs pour les failles de sécurité découvertes, des améliorations de la performance et de la stabilité, ainsi que des mises à jour des fonctionnalités des produits.

En adoptant ce calendrier régulier, Microsoft a réussi à réduire l’impact des mises à jour de sécurité sur les entreprises et les utilisateurs finaux, en facilitant la planification et la gestion des correctifs. Cependant, si une vulnérabilité critique est identifiée et exploitée activement, Microsoft peut publier des correctifs de sécurité hors cycle, appelés « correctifs d’urgence » ou « out-of-band patches », pour protéger les utilisateurs et les systèmes concernés.

Patch Tuesday – Août 2022

Un mois d’août 2022 très chargé pour Microsoft avec 121 vulnérabilités dont 17 critiques corrigées.

En résumé ce mois, Microsoft a corrigé 121 vulnérabilités, dont 17 vulnérabilités classées Critiques, car facilitant une élévation de privilèges (EoP) et une exécution de code à distance (RCE). Correctifs disponibles pour 2 vulnérabilités Zero-Day, l’une étant activement exploitée lors d’attaques (CVE-2022-34713, CVE-2022-30134). Microsoft a également publié 20 mises à jour de sécurité pour Microsoft Edge (basé sur Chromium) afin de résoudre des vulnérabilités d’élévation de privilèges (EoP), d’exécution de code à distance (RCE) et de contournement de fonctions de sécurité, affichant une sévérité respectivement faible, modérée et importante.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges (EoP), de divulgation d’information, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation, ainsi que dans Microsoft Edge (basé sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Remarque : Les vulnérabilités dans Microsoft Edge sont présentes dans chacune des catégories : Élévation de privilèges / Faible, Exécution de code à distance / Modérée et Contournement de fonctions de sécurité / Importante

Principales vulnérabilités Microsoft corrigées

CVE-2022-34713 | Vulnérabilité d’exécution de code à distance dans l’outil de diagnostic du Support Windows (MSDT)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10.

En mai dernier, Microsoft a publié un article avec des recommandations pour une vulnérabilité dans l’outil MSDT et des mises à jour pour résoudre cette vulnérabilité. Cette vulnérabilité CVE est une variante connue publiquement sous le nom de Dogwalk.

Évaluation d’exploitabilité : Exploitation détectée

CVE-2022-30134 | Vulnérabilité de divulgation d’informations dans Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,6/10.

Elle n’est exploitée que si l’utilisateur s’appuie sur une version affectée d’Exchange Server et accède à un serveur malveillant. L’attaquant doit au préalable avoir hébergé un serveur partagé ou un site Web malveillant. N’ayant aucun moyen de contraindre des utilisateurs de visiter ce serveur partagé ou ce site Web malveillant, l’attaquant devra convaincre ces derniers de se rendre sur le serveur partagé ou le site Web en question, généralement en les y invitant au moyen d’un message électronique ou dans le cadre d’une discussion en ligne.

Pour plus d’informations, reportez-vous à Exchange Server Support for Windows Extended Protection et/ou au blog sur Exchange.

Évaluation d’exploitabilité : Exploitation improbable

Corrections des vulnérabilités de contournement de fonctions de sécurité

Il existe des mises à jour de sécurité autonomes. Ces packages doivent être installés au dessus des mises à jour de sécurité classiques pour protéger pleinement contre cette vulnérabilité.

Cette actualisation exige une mise à jour de la pile de maintenance (SSU) pour des numéros KB spécifiques. Les packages ont une logique pré-requise intégrée qui garantit un certain ordre.

Les clients Microsoft doivent s’assurer d’avoir installé la toute dernière version de la mise à jour de la pile de maintenance avant d’installer ces mises à jour de sécurité autonomes. Pour plus d’informations, se reporter à ADV990001 | Latest Servicing Stack Updates .

Un attaquant parvenant à exploiter l’une de ces trois vulnérabilités pourrait contourner un Démarrage sécurisé.

CVE-2022-34301 | CERT/CC: CVE-2022-34301 – Contournement du chargeur de démarrage Eurosoft

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34302 | CERT/CC: CVE-2022-34302 – Contournement du chargeur de démarrage New Horizon Data Systems Inc.

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34303 | CERT/CC: CVE-20220-34303 – Contournement du chargeur de démarrage Crypto Pro

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-35794, CVE-2022-35794 | Vulnérabilité d’exécution de code à distance dans le protocole SSTP (Secure Socket Tunneling Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10.

Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-30133, CVE-2022-35744 | Vulnérabilité d’exécution de code à distance dans le protocole PPP (Point-to-Point Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. Une solution de contournement temporaire, avant d’installer les mises à jour corrigeant cette vulnérabilité, consiste à bloquer le trafic via ce port pour rendre la vulnérabilité inexploitable. Avertissement : Désactiver le Port 1723 peut affecter les communications sur votre réseau.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-34691 | Vulnérabilité d’élévation de privilèges sur les services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. En guise de solution de contournement temporaire, un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges au niveau Système.

Pour savoir comment protéger votre domaine, reportez-vous aux modifications de l’authentification à base de certificat sur les contrôleurs de domaine Windows.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-33646 | Vulnérabilité d’élévation de privilèges sur l’agent de nœud d’Azure Batch

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,0/10.

Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit préparer l’environnement ciblé pour améliorer la fiabilité de l’exploit.

Évaluation d’exploitabilité : Exploitation plus probable

(Par Debra M. Fezza Reed, Ingénieur de l’équipe Recherche sur les vulnérabilités et les menaces, Lab Qualys.)

Patch Tuesday Janvier 2022

Microsoft a corrigé 126 vulnérabilités dont 9 sont classées comme critiques. Au moment de la publication de cette analyse aucune des 126 vulnérabilités n’est exploitée de manière active. Microsoft a  dans ses logiciels, dont des vulnérabilités exploitées par exécution de code à distance (RCE), des failles de sécurité facilitant une élévation de privilèges, l‘usurpation d’identité et de déni de service (DoS).

Vulnérabilités Microsoft critiques corrigées 

CVE-2022-21907 – Vulnérabilité par exécution de code à distance dans la pile du protocole HTTP 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Elle affecte les serveurs Windows configurés comme serveurs Web. Pour exploiter cette vulnérabilité, un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce vers un serveur vulnérable en s’appuyant sur la pile du protocole HTTP pour traiter des paquets. Cette vulnérabilité est connue pour se propager sous la forme de vers. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-21849 – Vulnérabilité par exécution de code à distance dans le composant IKE Extension de Windows 

Affichant un score de sévérité CVSSv3.1 de 9,8/10, cette vulnérabilité affecte les systèmes fonctionnant avec la version 2 du composant IKE (Internet Key Exchange). Même si pour l’instant peu d’informations sont disponibles sur cette vulnérabilité, un attaquant à distance peut déclencher plusieurs vulnérabilités lorsque le service IPSec est exécuté sur le système Windows, sans besoin d’être identifié. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21846 – Vulnérabilité par exécution de code à distance sur Microsoft Exchange Server 

Cette vulnérabilité a été découverte et signalée à Microsoft par la NSA (National Security Agency). Elle affiche un score de sévérité CVSSv3.1 de 9,0/10. L’attaque associée à cette vulnérabilité se limite au niveau protocolaire à une topologie logiquement adjacente. Elle ne peut donc tout simplement pas être lancée sur Internet et doit plutôt s’appuyer sur un élément spécifiquement lié à la cible, par exemple un même réseau physique partagé (Bluetooth ou IEEE 802.11 notamment), un réseau logique (par ex. un sous-réseau IP local) ou depuis un domaine administratif sécurisé ou limité (par exemple MPLS, un VPN sécurisé vers une zone administrative du réseau). De nombreuses attaques exigeant des configurations de type Man-in-the-middle ou tributaires d’un ancrage dans un autre environnement fonctionnent de la sorte. Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-21837 – Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,3/10. Un attaquant peut exploiter cette vulnérabilité pour accéder au domaine puis exécuter du code à distance sur le serveur SharePoint pour s’élever lui-même au rang d’administrateur SharePoint. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21840 – Vulnérabilité par exécution de code à distance dans Microsoft Office 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Elle ne peut être exploitée que si l’utilisateur ciblé ouvre un fichier malveillant.

Dans un scénario d’attaque par email, l’attaquant exploitera la vulnérabilité en envoyant un fichier malveillant spécifique sur la messagerie de la cible avant de le convaincre de l’ouvrir. 

L’attaquant peut aussi héberger un site Web (ou utiliser un site Web compromis qui accepte ou héberge du contenu fourni par un utilisateur) qui contient un fichier malveillant personnalisé pour exploiter une vulnérabilité dans le cas d’une d’attaque via le Web. Évaluation d’exploitabilité :Exploitation moins probable

Adobe Patch Tuesday – Janvier 2022 

Adobe a publié des mises à jour pour corriger 41 CVE affectant Adobe Acrobat et Reader, Bridge, Illustrator, InCopy et InDesign. Parmi ces 41 vulnérabilités, 22 sont considérées comme critiques. Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS qui permettent de corriger de nombreuses vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution de code arbitraire, une fuite de mémoire, un déni de service de type applicatif ainsi qu’un contournement des fonctions de sécurité et une élévation de privilèges.  

83 vulnérabilités Microsoft dont 7 critiques et 1 activement exploitée

Patch Tuesday Microsoft & Adobe – 83 vulnérabilités Microsoft dont 7 critiques et 1 activement exploitée. 60 vulnérabilités Adobe dont 28 critiques.

Microsoft corrige 83 vulnérabilités avec la publication de son Patch Tuesday de décembre 2021, dont 5 classées comme critiques. L’édition de décembre corrige aussi une vulnérabilité Zero-Day activement exploitée. Les produits concernés par la mise à jour de sécurité de décembre de Microsoft sont Microsoft Office, Microsoft PowerShell, le navigateur Microsoft Edge basé sur Chromium, le noyau Windows, le spooler d’impression et le client du service Bureau à distance. Microsoft corrige des problèmes dans les logiciels, y compris des vulnérabilités par exécution de code à distance (RCE), des failles de sécurité facilitant une élévation des privilèges ainsi que des problèmes d’usurpation et de déni de service. 

Vulnérabilités Microsoft à prioriser et corriger… rapidement. 

CVE-2021-43890 | Vulnérabilité d’usurpation d’identité dans le programme Windows d’installation de paquets AppX. 

Cette vulnérabilité CVSS 7.1 est un Zero-Day identifié comme une vulnérabilité d’usurpation d’identité activement exploitée dans le programme d’installation de logiciels AppX et qui affecte Microsoft Windows. Microsoft a identifié des attaques qui tentent d’exploiter cette vulnérabilité en utilisant des paquets malveillants comprenant la famille de malware Emotet/Trickbot/Bazaloader.

Un attaquant peut créer une pièce jointe malveillante qui sera ensuite utilisée pour des campagnes de phishing. Il suffira ensuite à l’attaquant de persuader l’utilisateur ciblé d’ouvrir cette pièce jointe malveillante. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits utilisateur sur le système seront moins impactés que les utilisateurs ayant des droits administratifs. 

CVE-2021-43215 | Vulnérabilité de corruption de mémoire sur le serveur iSNS pouvant entraîner l’exécution de code à distance 

Cette vulnérabilité d’exécution de code à distance (RCE) cible le protocole Internet Storage Name Service (iSNS) qui facilite les interactions entre les serveurs et les clients iSNS. Un attaquant peut envoyer une requête malveillante au serveur iSNS pour déclencher une exécution de code à distance. Avec un score de sévérité CVSS de 9,8, cette vulnérabilité critique doit être corrigée en priorité. 

CVE-2021-43217 | Vulnérabilité d’exécution de code à distance dans le système de chiffrement de fichiers EFS de Windows. 

Il s’agit d’une vulnérabilité RCE qui cible le système de chiffrement de fichiers (EFS) et qui permet à un attaquant de provoquer un débordement de tampon d’écriture entraînant une exécution de code non mis en bac à sable et non authentifié. Avec un score de sévérité CVSS de 8,1, il s’agit d’une vulnérabilité à corriger rapidement. 

Microsoft est en train de résoudre cette vulnérabilité via un déploiement en deux temps. Ces mises à jour corrigent la vulnérabilité en modifiant la manière dont le système EFS établit les connexions depuis le client vers le serveur. 

Pour obtenir des conseils sur la façon de gérer les modifications requises pour cette vulnérabilité et pour en savoir plus sur le déploiement par étapes, se reporter à l’article KB5009763: EFS security hardening changes in CVE-2021-43217

Lorsque la deuxième phase de mises à jour Windows sera disponible au cours du premier trimestre 2022, les clients seront avertis au moyen d’une révision de cette vulnérabilité de sécurité. Pour être avertis de la disponibilité de cette mises à jour, nous vous invitons à vous inscrire à la liste de diffusion des avis de sécurité qui vous tiendra informés des modifications de contenu qui seront apportées à cet avis. Voir les avis de sécurité technique de Microsoft (Microsoft Technical Security Notifications)

CVE-2021-43905 | Vulnérabilité d’exécution de code à distance dans les applications Microsoft Office 

Il s’agit là d’une vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans les applications Microsoft Office. À corriger rapidement car elle affiche un score de sévérité de 9,6. 

CVE-2021-41333 | Vulnérabilité d’élévation de privilèges dans le spooler d’impression Windows 

Cette vulnérabilité d’élévation de privilèges dans le spooler d’impression Windows qui a été rendue publique peut être facilement attaquée si bien qu’avec un score de sévérité de 7,8 cette vulnérabilité doit être corrigée rapidement. 

CVE-2021-43233 | Vulnérabilité d’exécution de code à distance sur le client Bureau à distance 

Cette vulnérabilité RCE critique contenue dans le déploiement mensuel de Windows doit elle aussi être corrigée rapidement en raison d’un score de sévérité de 7,5. 

Adobe Patch Tuesday – Décembre 2021 

À l’occasion de ce Patch Tuesday, Adobe a publié 11 mises à jour de sécurité pour ses produits qui permettent de corriger 60 vulnérabilités CVE dont 28 sont classées comme critiques et qui impactent les produits Adobe After Effects, Dimension, Experience Manager, Media Encoder, Photoshop, Prelude, ainsi que Premiere Pro et Rush. 

Microsoft – Patch Tuesday juillet 2019

Ce mois-ci Microsoft résout 77 vulnérabilités dont 15 classées comme critiques. Parmi ces dernières, 11 affectent les moteurs de scripts et les navigateurs tandis que les quatre autres concernent le serveur DHCP, GDI+, l’infrastructure .NET et l’ensemble des outils de développement logiciel Azure DevOps Server (anciennement Team Foundation Server).

En outre, Microsoft a publié des correctifs importants pour deux vulnérabilités activement exploitées facilitant une élévation de privilèges, ainsi que pour une exécution de code à distance sur SQL Server. Microsoft a également diffusé deux avis de sécurité concernant des vulnérabilités affectant Outlook sur le web et le noyau Linux. Concernant Adobe, l’éditeur vient tout juste de publier des correctifs pour Bridge CC, Experience Manager et Dreamweaver.

Correctifs pour postes de travail

Déployer des patches pour les moteurs de script, les navigateurs, GDI+ et l’Infrastructure .NET est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs utilisés comme postes de travail distants.

Exécution de code RCE sur le serveur DHCP

Une vulnérabilité par exécution de code à distance (RCE) (CVE-2019-0785) est présente sur le serveur DHCP de Microsoft lorsque ce dernier est configuré pour une reprise après incident. Un attaquant ayant un accès depuis le réseau au serveur DHCP dédié à la reprise après incident pourrait ainsi exécuter du code de manière arbitraire. Ce correctif doit donc être déployé en priorité sur tous les systèmes exécutant un serveur DHCP en mode Reprise après incident.

Attaques actives sur l’élévation de privilèges

Microsoft a publié des patches pour deux vulnérabilités facilitant une élévation de privilèges (CVE-2019-1132 et CVE-2019-0880) dans Win32k et splwow64 et qui ont été exploitées en aveugle. Même s’ils sont classés comme Importants, ces correctifs sont en fait prioritaires car une association avec d’autres vulnérabilités pourrait fournir un accès complet au système à un cyberattaquant.

Exécution de code RCE sur le serveur SQL

Le Patch Tuesday de ce mois-ci résout également une vulnérabilité par exécution de code à distance (CVE-2019-1068) au sein du serveur Microsoft SQL Server. Classée comme Importante, cette vulnérabilité exige une authentification. Cependant, si elle est associée à une injection de code SQL, un cyberattaquant risque de compromettre complètement le serveur.

Azure DevOps Server (anciennement Team Foundation Server)

L’ensemble d’outils de développement logiciel Azure DevOps Server (ex-Team Foundation Server – TFS) est affecté par une vulnérabilité par exécution de code à distance (CVE-2019-1072) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Sont également concernés les utilisateurs anonymes si le serveur est configuré pour accepter ces derniers. Ce correctif est donc une priorité pour toutes les installations Azure DevOps ou TFS.

Script XSS dans Outlook sur le web

Microsoft a publié un avis de sécurité pour une vulnérabilité à base de scripts intersite (XSS) dans Outlook sur le web (anciennement OWA). Cette vulnérabilité permet à un attaquant d’envoyer un fichier SVG malveillant, même si l’utilisateur ciblé doit ouvrir ce fichier d’image vectorielle directement en le glissant vers un nouvel onglet ou en copiant l’URL dans un nouvel onglet. Même si ce scénario d’attaque reste improbable, Microsoft recommande de bloquer les fichiers au format SVG. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)

Patch Tuesday : 79 vulnérabilités dont 22 critiques

Ce Patch Tuesday de mai 2019 traite 79 vulnérabilités dont 22 classées critiques. Parmi ces dernières, 18 affectent les moteurs de scripts et les navigateurs.

Les quatre restantes concernent des exécutions de code à distance (RCE) sur le protocole Remote Desktop (RDP), le serveur DHCP, GDI+ et Word. Microsoft a également publié des recommandations sur les techniques MDS (Microarchitectural Data Sampling) récemment divulguées dont les failles ZombieLoad, Fallout et RIDL. Concernant Adobe, le Patch Tuesday comprend des correctifs pour des vulnérabilités dans Flash, Acrobat/Reader (83 vulnérabilités !) et Media Encoder.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script, les navigateurs, GDI+ et Word est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi utilisateurs utilisés comme postes de travail distants par des utilisateurs.

Exécution de code RCE sur les services Remote Desktop (RDS)

Le protocole RDP (Remote Desktop Protocol) est affecté par la vulnérabilité par exécution de code à distance CVE-2019-0708. L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code de manière arbitraire sur un système affecté. Ce type de vulnérabilité peut faciliter la propagation de vers informatiques en raison du manque d’authentification et de l’omniprésence du service RDP. Même si un exploit Preuve de concept n’a pas encore été dévoilé, cette vulnérabilité doit être résolue en priorité absolue sur Windows 7, Server 2008 et Server 2008 R2.

Critiques : Exécution de code RCE sur le serveur DHCP

Le serveur DHCP de Windows est affecté par la vulnérabilité CVE-2019-0725 classée comme critique pouvant faciliter l’exécution de code à distance. Un quelconque attaquant non identifié peut envoyer des paquets à un serveur DHCP pour exploiter cette vulnérabilité, ce correctif est donc une priorité pour tous les déploiements DHCP Windows. Une vulnérabilité semblable au sein du serveur DHCP a été corrigée en février tandis qu’une autre vulnérabilité a été corrigée en mars sur le client DHCP.

Conseils pour les attaques MDS (Microarchitectural Data Sampling)

Microsoft a publié une documentation d’assistance concernant l’atténuation des attaques MDS (Microarchitectural Data Sampling). Les attaques de ce type s’appellent notamment ZombieLoad, Fallout et RIDL. Les CVE correspondant à ces vulnérabilités sont CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091. Intel diffuse aussi une présentation ainsi qu’un document détaillé sur les techniques employées et les atténuations à déployer.

Des mises à jour du microcode pour les processeurs concernés devront être réalisées pour atténuer ces attaques tandis que des correctifs devront être déployés pour les systèmes d’exploitation. Microsoft précise que la désactivation de l’hyper-threading (alias Simultaneous Multi Threading ou SMT) pourra s’avérer nécessaire pour une atténuation complète, même si Intel déconseille cette procédure. Microsoft distribuera des mises à jour du microcode uniquement pour Windows 10. Pour les autres systèmes d’exploitation, c’est le fabricant OEM qui devra fournir ces mises à jour souvent sous la forme d’une mise à jour du BIOS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges pour le traitement des erreurs Windows
Microsoft a également publié un correctif pour une vulnérabilité facilitant une élévation de privilèges pour le traitement des erreurs Windows (CVE-2019-0863) et qui a été exploitée à l’aveugle. L’application de ce correctif est donc prioritaire pour toutes les versions Windows prises en charge.

Adobe Patch Tuesday

Adobe a publié des correctifs pour Flash, Acrobat/Reader et Media Encoder. Même si les correctifs pour Flash ne concernent qu’une seule exécution CVE et que les patches pour Media Encoder en traitent deux, les patches pour Acrobat/Reader concernent pas moins de 83 vulnérabilités. Il est recommandé de traiter en priorité tous les systèmes hôtes impactés et plus particulièrement les équipements de type poste de travail. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)

Patch Tuesday – Mars 2019 : 65 vulnérabilités dont 18 critiques

Le Patch Tuesday du mois de mars corrige 65 vulnérabilités dont 18 identifiées comme critiques. 13 de ces vulnérabilités critiques concernent les moteurs de scripts et des composants de navigateur et impactent les navigateurs Microsoft ainsi que la suite Office. Le Patch Tuesday de février 2019 comportait 74 vulnérabilités dont 20 critiques

Trois vulnérabilités entraînant une exécution de code à distance (RCE) sont corrigées sur le client DHCP de Windows de même qu’une vulnérabilité RCE sur le serveur TFTP exécutant des services de déploiement Windows et une élévation de privilèges dans Microsoft Dynamics 365. Le volume de patches publiés par Adobe ce mois-ci est plutôt léger et corrige seulement deux vulnérabilités et exposition courantes (CVE) dans Photoshop CC et Digital Editions.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script, ActiveX et MSXML sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont concernés les serveurs multi-utilisateurs qui servent de postes de travail distants à des utilisateurs.

Client DHCP Windows

Le client DHCP Windows étant utilisé sur les postes de travail et les serveurs, le déploiement de patches pour résoudre les trois vulnérabilités RCE doit être une priorité pour tous les systèmes Windows.

Serveur TFTP exécutant des services de déploiement Windows (WDS)

Si vous utilisez les services de déploiement Windows, ce patch doit être déployé en priorité dans la mesure où l’exploitation de la vulnérabilité affectant ces services peut entraîner l’exécution de code à distance sur le serveur concerné.

Microsoft Dynamics 365

Les déploiements sur site de Microsoft Dynamics 365 sont vulnérables aux élévations de privilèges si bien que le déploiement de correctifs pour ce système doit également être traité en priorité.

Avis de sécurité Microsoft

Microsoft a également publié trois avis de sécurité qui traitent différents sujets :

L’avis ADV190009 annonce la prise en charge de la signature du code SHA-2 pour Windows 7 SP1 et Windows Server 2008 R2. Cette mise à jour sera nécessaire pour tous les nouveaux correctifs publiés après juillet 2019. Les versions plus anciennes du serveur WSUS (Windows Server Update Services) doivent également être mises à jour afin de pouvoir distribuer les nouveaux patchs signés par l’algorithme de hachage SHA-2.

L’avis ADV190010 fournit des recommandations sur le partage entre plusieurs utilisateurs d’un même compte utilisateur. Microsoft déconseille ce comportement qu’il considère comme un risque de sécurité majeur.

L’avis ADV190005 fournit quant à lui des atténuations pour un possible déni de service dans http.sys lors de la réception de requêtes HTTP/2. Le patch permet de définir une limite pour le nombre de paramètres SETTINGS à envoyer lors d’une même requête.

Adobe

Adobe a publié des correctifs non sécuritaires pour Flash ainsi que des patchs de sécurité critiques pour Photoshop CC et Digital Editions, chacun de ces deux produits étant affecté par une vulnérabilité. (Jimmy Graham dans The Laws of Vulnerabilities)

Patch Tuesday : 74 vulnérabilités dont 20 critiques

Le patch Tuesday de ce mois de février 2019 propose la correction de 74 vulnérabilités, dont 20 critiques.

Le Patch Tuesday de ce mois-ci est très volumineux et porte sur la résolution de 74 vulnérabilités dont 20 classées critiques. 15 de ces vulnérabilités critiques concernent le moteur de script et des navigateurs, les 5 autres sont liées à GDI+, SharePoint et DHCP. Microsoft a également publié un avis de sécurité pour un exploit Zero-Day affectant Exchange ainsi qu’un patch pour l’une des deux vulnérabilités signalées. De son côté, Adobe a publié des mises à jour pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script et GDI+ sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Concernés, les serveurs multiutilisateurs en mode postes de travail distants.

Exchange

Fin janvier, un exploit Zero-Day a été annoncé pour Microsoft Exchange. Ce dernier utilise plusieurs vulnérabilités connues dans Exchange et Active Directory. L’attaquant qui exploite ces vulnérabilités peut élever ses privilèges jusqu’au rang d’administrateur de domaine. La semaine dernière, Microsoft a publié un avis de sécurité concernant cet exploit et donné certaines recommandations pour atténuer les vulnérabilités. Cependant, deux mises à jour ont été publiées aujourd’hui (CVE-2019-0686 et CVE-2019-0724) qui remplacent l’atténuation suggérée en amont. Le déploiement de ces mises à jour est hautement prioritaire dans tous les environnements Exchange.

SharePoint

Les deux vulnérabilités dans SharePoint (CVE-2019-0594 et CVE-2019-0604) permettent à un utilisateur malveillant d’exécuter du code dans le contexte d’un pool d’applications SharePoint et du compte de la ferme de serveurs SharePoint. L’utilisateur malveillant a besoin de droits spéciaux pour réaliser cette action. Le correctif est hautement prioritaire pour tous les serveurs SharePoint.

DHCP

Une vulnérabilité affecte le serveur DHCP de Windows. Classée comme critique. Elle peut faciliter l’exécution de code à distance.

Tout attaquant qui envoie des paquets à un serveur DHCP. Ce correctif doit donc être une priorité pour tous les déploiements DHCP Windows.

Correctifs Adobe

Pour conclure, Adobe a également publié des correctifs pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud. Les patches Acrobat/Reader corrige 71 CVE.

Classé comme important par Adobe, le patch pour Flash corrige une vulnérabilité de type « lecture hors limites » pouvant entraîner la divulgation d’informations. Pour sa part, Microsoft considère cette vulnérabilité comme critique et pouvant entraîner une exécution de code à distance.

Le correctif pour ColdFusion permet de traiter deux vulnérabilités, l’une étant classée comme critique. La vulnérabilité de désérialisation Java doit être corrigée dès que possible car son exploitation peut entraîner l’exécution de code à distance. Une procédure plus complète sera peut-être nécessaire après le déploiement de la mise à jour. (Par Jimmy Graham/Qualys)

Patch Tuesday – Décembre 2015

Un total de 12 bulletins de mises à jour, dont 8 critiques, en ce mois de décembre. Il est donc urgent d’appliquer les correctifs pour ses outils Adobe et Microsoft.

Le dernier Patch Tuesday de l’année 2015 est dans la moyenne avec cependant des bulletins un peu plus sévères que d’habitude. En effet, sur un total de 12 bullentins, 8 sont définis comme critiques, dont un qui résout une vulnérabilité 0-Day actuellement utilisée par des attaquants pour escalader des privilèges dans Windows. Auparavant très rares, les menaces 0-Day sont devenues légion en 2015. L’année avait d’ailleurs commencé par une vague de menaces 0-Day pour Adobe Flash puis un correctif a été publié chaque mois ou presque pour des vulnérabilités déjà victimes d’exploits. Il s’agit d’un signal fort, car les ressources techniques des attaquants vont crescendo et c’est aussi un rappel aux DSI qui ne devraient pas seulement corriger leurs systèmes sans délai, mais également renforcer leur sécurité.

Parmi les résolutions de 2016, il faudrait s’intéresser aux installations minimales de logiciels avec le moins possible de fonctionnalités activées, ainsi qu’à des logiciels supplémentaires tels qu’EMET pour améliorer la robustesse.

Au total, 135 bulletins ont été publiés par Microsoft en 2015, soit une augmentation sensible par rapport à la moyenne de ces dernières années. Les nouveaux produits Microsoft n’expliquent qu’en petite partie cette hausse, le nouveau navigateur Edge n’ayant fait l’objet que de cinq bulletins spécifiques cette année. Cette augmentation est liée pour l’essentiel aux nouveaux composants de l’écosystème Windows qui sont passés à la loupe pour la première fois, une tendance qui indique l’importance croissante de la sécurité informatique.

MS15-135 résout une vulnérabilité 0-Day au sein du noyau Windows. Pas plus de détails quant à l’ampleur de la diffusion de cette vulnérabilité et de son exploit, mais cela lui vaut une place de choix dans notre liste des priorités.

Les navigateurs étant souvent utilisés dans les scénarios d’attaque actuels, notamment les téléchargements involontaires ou les attaques par harponnage, ils doivent être mis à jour le plus rapidement possible. Les bulletins MS15-124 pour Internet Explorer (IE), MS15-125 pour Edge et MS15-126 pour les bibliothèques JavaScript sous Vista et Windows Server 2008 résolvent 30 vulnérabilités, nombre d’entre elles étant critiques car elles permettent l’exécution de code à distance (RCE). Edge ne présente « que » 15 problèmes, dont 11 proviennent d’IE et 4 sont propres à ce nouveau navigateur.

MS115-131 pour Microsoft Office est le bulletin suivant sur la liste. Il est classé comme critique par Microsoft, ce qui est rare pour un bulletin Office et indique qu’il existe un vecteur pour exploiter la vulnérabilité sans interaction de l’utilisateur. CVE-2015-6172 est une vulnérabilité critique sous Outlook déclenchée par un message électronique formaté dans un but malveillant. Il n’existe pas de solution de contournement raisonnable et Microsoft suggère de désactiver le volet d’aperçu, l’équivalent numérique de « Il suffit de ne pas le faire ». Corrigez cette vulnérabilité dès que possible. CVE-2015-6124 est actuellement exploitée à l’aveugle par des attaquants.

Place ensuite à une vulnérabilité sur le serveur Microsoft DNS, ce qui est plutôt rare. MS15-127 remplace MS12-017 depuis plus de 3 ans. Les attaquants qui exploitent la vulnérabilité identifiée dans MS15-127 sur le serveur DNS de Microsoft prendront là encore le contrôle du serveur et exécuteront du code dans le contexte du système. L’attaque est lancée à distance et n’exige aucune authentification et il n’existe aucune solution de contournement. Mettez vos serveurs DNS Microsoft à jour le plus vite possible, en respectant les phases de test et d’attente nécessaires pour un service aussi fondamental.

La vulnérabilité critique suivante se trouve dans le système graphique de Windows (bulletin MS15-128) qui pose un problème de gestion des polices. Ce bulletin remplace le bulletin MS15-097 depuis septembre, lequel remplaçait le MS15-077 depuis juillet. Il s’agit donc d’occurrences assez courantes. Les vecteurs d’attaques sont très larges dans la mesure où la navigation Web, la messagerie électronique, les documents et les médias riches jusqu’à Silverlight peuvent tous être utilisés pour lancer une attaque.

Les autres vulnérabilités critiques concernées par ce Patch Tuesday se trouvent dans Silverlight (MS15-129) et Uniscribe (MS15-130). Traitez-les en même temps que les vulnérabilités importantes résolues à l’aide des bulletins MS15-132, MS15-133 et MS15-134.

En plus des mises à jour Microsoft, Adobe a publié une nouvelle version de Flash. Le bulletin de sécurité APSB15-32 correspondant résout le nombre record de 78 vulnérabilités. Toutes les vulnérabilités, sauf trois, pouvaient être utilisées par un attaquant pour exécuter du code à distance depuis le navigateur à l’insu de son utilisateur. Il suffisait ensuite d’exploiter une deuxième vulnérabilité pour devenir système sur la machine (voir MS15-135 par exemple), ce qui aurait au final fourni un contrôle total à l’attaquant. Les attaques basées sur Flash ont été très prisées des pirates tout au long de l’année 2015 avec de nombreux kits fournissant des exploits tout à fait actualisés. Ajoutez cela à votre liste des points hautement prioritaires. (Analyse par Wolfgang Kandek, CTO , Qualys, Inc.)

Patch Tuesday – Novembre 2015

Retour à la normale pour le Patch Tuesday de Novembre 2015. Douze bulletins concernent un large éventail de produits, depuis Internet Explorer (MS15-112) jusqu’à Skype (MS15-123). Les six petits bulletins du mois dernier étaient une anomalie probablement due aux vacances d’été. La différence marquée entre les patches pour Internet Explorer et pour Edge, en revanche, n’est pas une anomalie mais le fruit d’une ingénierie sérieuse de la sécurité.

Manifestement plus sécurisé qu’Internet Explorer, Edge s’avère être un puissant choix de navigateur Internet si vos utilisateurs peuvent s’en servir pour exécuter toutes leurs applications métier.

Pour le classement des patchs, le cru de ce mois comprend un correctif pour une vulnérabilité connue fournie dans le bulletin critique MS15-115 qui résout sept vulnérabilités dans Windows. Deux des vulnérabilités se trouvent dans le sous-ensemble de polices, ce qui les rend exploitables à distance via la navigation Web et la messagerie. Elles affectent toutes les versions de Windows, y compris Windows 10 et RT. Ce mois-ci, le bulletin MS15-115 figure en haut de la liste.

Vient ensuite MS15-112 pour Internet Explorer, avec 25 correctifs dont 23 pour des vulnérabilités critiques à base d’exécution de code à distance (RCE). Le vecteur d’attaque est une page Web, très courante, malveillante. Les cybercriminels lancent les attaques en exploitant des vulnérabilités au sein de pages Web par ailleurs anodines et en prenant le contrôle du contenu des pages dans lesquelles ils insèrent des liens invisibles qui pointent vers leurs pages d’attaque basées sur des kits d’exploits commerciaux. Ces kits concernent essentiellement des vulnérabilités récentes au sein de navigateurs et de plug-ins (Flash étant choisi dans 80% des cas selon une récente enquête de Recorded Future) et s’enrichissent de nouveaux exploits quelques jours seulement après la publication d’une vulnérabilité.

Les attaques via les navigateurs et la messagerie sont si fréquentes que le Centre pour la sécurité Internet (CIS) a revu sa liste des 20 contrôles de sécurité critiques et ajouté un contrôle dédié aux navigateurs/à la messagerie ayant une priorité de niveau 7, ce qui le positionne devant les défenses classiques contre les codes malveillants concernées par le contrôle 8.

Quoi qu’il en soit, le MS15-112 doit être déployé le plus vite possible.

Le suivant sur la liste est le bulletin de sécurité MS15-116 qui résout sept failles sous Microsoft Office. Cinq de ces vulnérabilités peuvent être exploitées pour prendre le contrôle du compte de l’utilisateur qui ouvre le document malveillant et permettre ainsi une exploitation à distance. Cet accès permet de contrôler suffisamment la machine pour lancer un certain nombre d’attaques, notamment de type Ransomware. Cependant, l’attaquant peut l’associer à une vulnérabilité locale dans le noyau Windows pour compromettre totalement la machine et en prendre pleinement le contrôle afin d’y installer de nombreuses backdoors.

Les deux autres bulletins critiques concernent Edge Browser (MS15-113) et le Journal Windows (MS15-114). Ils doivent être appliqués le plus vite possible, ne serait-ce que pour votre machine bénéficie de la toute dernière mise à niveau.

Tous classés comme importants, les autres bulletins doivent être déployés dans votre cycle de patch usuel:

  • MS15-118 concerne .NET et corrige trois vulnérabilités, dont une permettant d’exécuter du code pendant que l’utilisateur visite un site Web (Cross Site Scripting). Ces vulnérabilités sont souvent exploitées pour dérober les informations de la session de l’utilisateur et se substituer à ce dernier. Selon l’application concernée, les conséquences peuvent être lourdes. En effet, l’attaquant peut ainsi accéder à un compte de niveau Administrateur associé à votre application Web.

  • MS15-119 résout une vulnérabilité d’élévation de privilèges dans la bibliothèque de sockets Windows présente dans toutes les versions dont Windows 10.

  • Quant au bulletin MS15-117, il corrige une vulnérabilité au sein du composant réseau NDIS et qui affecte uniquement les systèmes plus anciens (Vista, Windows 7 et Server 2008).

  • MS15-120, MS15-121, MS15-122 et MS15-123 corrigent des failles uniques dans IPSEC, SChannel, Kerberos et Skype pouvant être exploitées par des dénis DoS, des attaques Man In The Middle ainsi que par des contournements de chiffrement.

Dernier point et non des moindres, Adobe a également publié une mise à jour pour Adobe Flash. APSB15-28 résout plusieurs vulnérabilités critiques permettant à un attaquant d’exécuter du code dans le contexte de l’utilisateur. Sachant que Flash est cette année une cible favorite des attaquants, n’oubliez pas de le mettre à jour sur vos machines clientes. (Analyse par Wolfgang Kandek, CTO , Qualys, Inc. (wkandek)

Patch party pour Microsoft

Le Patch Tuesday publié en ce mois de septembre septembre est chargé. Nous recevrons donc 14 nouveaux bulletins, ce qui porte à 80 le nombre de bulletins qui auront déjà été publiés jusqu’à septembre de cette année. Nous allons donc certainement dépasser les 100 bulletins publiés pour 2013 année contre 83 en 2012 et exactement 100 en 2011. Ceci reflète bien l’effervescence du marché de la sécurité informatique.

Parmi les 14 bulletins, les 8 premiers sont intitulés « Exécution de code à distance », le type de faille prisé par les pirates pour pénétrer votre réseau. Les bulletins #1 à #4 sont quant à eux intitulés « critiques » par Microsoft, ce qui signifie que les failles concernées peuvent uniquement être exploitées avec la participation de l’utilisateur. Le bulletin #1 est consacré à Sharepoint Server et devrait être la priorité absolue des administrateurs de serveurs, lesquels se seront auparavant empressés de tester et vérifier que le patch n’aura aucun impact sur une quelconque fonctionnalité critique pour l’activité de votre entreprise. Le bulletin #2 devrait être une priorité de l’équipe chargée de la sécurité du parc informatique. En effet, il concerne une faille dans Microsoft Office qui peut être déclenchée par la simple prévisualisation d’un email dans Outlook, c’est-à-dire sans même ouvrir le courrier électronique. Outlook pour Office 2007 et 2010 est concerné par cette faille.

Le bulletin #3 est une mise à jour critique pour Internet Explorer (IE) et concerne toutes les versions de IE6 à IE10, y compris sous Windows 8 et Windows RT. Le bulletin #4, qui est le dernier bulletin critique, est consacré à une faille sous Windows, mais qui ne concerne que les systèmes d’exploitation appartenant presque au passé, à savoir Windows XP et Windows Server 2003. Par conséquent, vous devriez dès à présent supprimer progressivement ces systèmes d’exploitation qui ne bénéficieront plus du support des patchs de sécurité à compter d’avril 2014, tout comme Office 2003 qui sera aussi privé de ce support dès avril prochain. Ces systèmes d’exploitation ainsi que la suite Office commenceront alors à cumuler les vulnérabilités non résolues et attireront donc des pirates qui pourront disposer d’outils faciles à utiliser et infaillibles pour exploiter des configurations sous XP/2003 ou exécutant Office 2003.

Parmi les bulletins restants, les #6, #7 et #8 sont des priorités car ils traitent de failles Office (Word, Excel et Access) qui peuvent être exploitées pour prendre le contrôle d’une machine ciblée. Toutes les versions Office 2003, 2007, 2010 et 2013 sont concernées et le bulletin #7 s’applique également à Excel sous Mac OS X Office 2011. En résumé, il s’agit donc d’un Patch Tuesday important, surtout pour les vulnérabilités bureautiques, au moins si vous n’exécutez pas Sharepoint Server.