Le point de vue d'Akamai sur le Patch Tuesday de juillet 2024
De nombreux pays célèbrent la fête nationale en juillet, et quelle meilleure façon de célébrer que par une explosion de CVE ? 137 vulnérabilités ont été corrigées sur le Patch Tuesday de juillet 2024, avec cinq vulnérabilités critiques dans Microsoft SharePoint Server, le service des licences du bureau à distance Windows et la bibliothèque de codecs Windows.
En outre, une vulnérabilité d'escalade de privilèges (EOP) dans Windows Hyper-V et une vulnérabilité d'usurpation dans la plateforme Windows MSHTML ont été signalées comme vues « in the wild », et il existe un correctif pour une vulnérabilité dans Thèmes Windows comme rapporté par le chercheur d'Akamai Tomer Peled.
Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées.
Dans cet article de blog, nous évaluerons l'importance des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Vulnérabilités trouvées « in the wild »
CVE-2024-38080 — Windows Hyper-V (CVSS 7.8)
Windows Hyper-V est l'hyperviseur natif de Windows. Il permet l'hébergement de machines virtuelles (invités) sur une seule machine hôte. La virtualisation est très courante dans les réseaux d'entreprise, car elle permet de réaliser des économies sur les coûts matériels.
Dans nos observations, 84 % des environnements avaient des machines avec Hyper-V activé (hôtes).
CVE-2024-38080 est une vulnérabilité EoP locale qui permet aux attaquants d'obtenir des privilèges SYSTÈME à la suite d'une exploitation réussie. On ignore encore si la vulnérabilité existe sur les ordinateurs hôtes ou invités, et comment elle est exploitée. Microsoft a indiqué qu'une exploitation réussie de cette vulnérabilité a été détectée « in the wild ».
Détection
Pour détecter les hôtes Hyper-V, vous pouvez utiliser la requête osquery suivante :
SELECT
name, statename
FROM
windows_optional_features
WHERE
name LIKE 'Microsoft-Hyper-V%'
AND state = 1
Akamai Guardicore Segmentation Les clients peuvent utiliser la fonctionnalité Insight pour exécuter cette requête.
CVE-2024-38112 — Plateforme Windows MSHTML (CVSS 7,5)
MSHTML est un moteur de rendu de page Web pour le système d'exploitation Windows. Il expose une interface Component Object Model (COM) pour permettre aux programmes d'ajouter des capacités de rendu Web. Il est utilisé par Internet Explorer, le mode Internet Explorer de Microsoft Edge, Microsoft Outlook et divers autres programmes.
De nombreuses vulnérabilités ont été découvertes dans la plateforme MSHTML par le passé (dont certaines par les chercheurs d'Akamai). Il s'agit d'une cible d'exploitation de choix pour les attaquants en raison de sa capacité à contourner les mécanismes de défense et du fait qu'il s'agit d'une fonctionnalité intégrée à Windows.
Pour une analyse technique de la CVE, vous pouvez en lire plus dans l'article de blog de Haifei Li .
Vulnérabilités découvertes par les chercheurs d'Akamai
CVE-2024-38030 — Thèmes Windows (CVSS 6.5)
Thèmes Microsoft est une fonctionnalité Windows destinée à modifier les paramètres d'affichage des icônes, des polices et de bien d'autres aspects. Elle fait partie intégrante de Windows.
Chercheur Akamai Tomer Peled a découvert CVE-2024-38030, qui est catégorisée comme une vulnérabilité d'usurpation avec un score CVSS de 6,5. L'exploitation réussie de cette vulnérabilité contourne le correctif pour CVE-2024-21320, qui a également été découverte par Tomer Peled.
Le correctif pour CVE-2024-21320 introduisait la fonction PathIsUNC pour vérifier si un chemin donné dans un fichier de thème était un chemin UNC. Malheureusement pour Microsoft, James Forshaw avait déjà discuté d'un moyen de contourner cette fonction. Nous pensons que ce pourrait être la première fois que ce contournement est utilisé pour exploiter les fonctionnalités de Windows.
Sevice des licences du bureau à distance Windows
Le service des licences du bureau à distance Windows est utilisé dans le cadre d'un déploiement des services de bureau à distance Windows (RDS). RDS est une solution de virtualisation permettant de déployer et de gérer des postes de travail virtuels distants pour les utilisateurs.
Le service des licences est utilisé pour émettre et gérer les licences d'accès client, qui sont nécessaires pour se connecter aux bureaux virtuels générés via Desktop Services.
Ce mois-ci, il existe trois vulnérabilités critiques d'exécution de code à distance, ainsi que quatre vulnérabilités de déni de service dans le service des licences de bureau à distance Windows.
| Numéro CVE | Effet |
|---|---|
| CVE-2024-38077 | Exécution de code à distance |
| CVE-2024-38074 | |
| CVE-2024-38076 | |
| CVE-2024-38071 | Déni de service |
| CVE-2024-38072 | |
| CVE-2024-38073 | |
| CVE-2024-38099 |
Atténuation
La recommandation de Microsoft est de désactiver le service s'il n'est plus utilisé. À mesure que de plus en plus d'entreprises migrent vers le cloud, il est possible que votre déploiement RDS soit également déplacé vers le cloud et que le serveur de licences sur site ne soit plus nécessaire. Dans nos observations, 50 % des environnements disposaient d'un serveur avec un service des licences de bureau à distance (TermServLicensing).
Vous pouvez utiliser l'osquery suivante pour détecter le service et son état :
SELECT
status, pid, start_type
FROM
services
WHERE
name='TermServLicensing'
De plus, le service des licences poss`de un accès réseau via un appel de procédure à distance (RPC). En tant que tel, il utilise des ports éphémères et un canal nommé (\\pipe\\HydraLsPipe) pour la communication, qui peut être difficile à suivre au fil du temps. Vous pouvez utiliser Event Tracing for Windows (ETW) pour surveiller le trafic RPC ou limiter l'accès à l'interface RPC avec des filtres RPC. Son interface UUID est {3d267954-eeb7-11d1-b94e-00c04fa3080d}.
Bibliothèque de codecs Microsoft Windows
La bibliothèque de codecs Microsoft Windows comprend les codecs intégrés à Windows. Les codecs sont utilisés pour coder et décoder divers formats de médias, comme les images, les vidéos, l'audio et les polices.
Ce mois-ci, il existe une vulnérabilité critique d'exécution de code à distance CVE-2024-38060qui, selon la FAQ, est exploitable en téléchargeant une image TIFF malveillante sur un serveur. Le codec TIFF fait partie de Windows Imaging Component (WIC) et est intégré à Windows. En tant que tel, il affecte toute installation Windows et tout programme exécuté qui utilise WIC pour analyser les images TIFF.
Vous pouvez utiliser l'osquery suivante pour détecter les processus qui ont chargé la DLL de la bibliothèque de codecs :
SELECT
name, pid, proc.path
FROM
process_memory_map AS pmm
JOIN processes AS procUSING(pid)
WHERE
pmm.path LIKE '%windowscodecs.dll'
Il existe également deux CVE de divulgation d'informations : CVE-2024-38055 expose des parties de la mémoire de noyau Windows et CVE-2024-38056 peut exposer des portions de mémoire de tas, probablement de processus utilisant la bibliothèque de codecs.
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur lesarticles de blog Patch Tuesday.
| Service | Numéro CVE | Effet | Accès requis |
|---|---|---|---|
| Microsoft SharePoint Server | CVE-2024-38023 | Exécution de code à distance | Réseau, autorisations SiteOwner |
| CVE-2024-38024 | |||
| CVE-2024-32987 | Divulgation d'informations | Réseau, authentification requise | |
| Services cryptographiques Windows | CVE-2024-30098 | Contournement de la fonction de sécurité | Réseau, nécessite une collision SHA1 |
| iSCSI Windows | CVE-2024-35270 | Déni de service | Réseau local |
| Service Serveur DHCP | CVE-2024-38044 | Exécution de code à distance | Réseau, nécessite des privilèges DHCP spécifiques, probablement DHCP admin |
| Microsoft Defender pour IoT | CVE-2024-38089 | Escalade de privilèges | Réseau |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.