Le point de vue d'Akamai sur le Patch Tuesday d'avril 2024
Joyeux Aïd al-Fitr, joyeuses Pâques et bonnes fêtes de Pessah. Avril est traditionnellement un mois festif : Microsoft s'inscrit dans cet esprit de fêtes avec ses CVE. Le Patch Tuesday d'avril 2024 compte 147 CVE au total, et trois d'entre eux sont critiques dans Microsoft Defender pour IoT.. Il y a aussi une CVE « in the wild » :un certificat Microsoft utilisé pour signer des charges utiles malveillantes.
Dans cet article de blog, nous évaluerons l'importance des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Pilote proxy
Sophos X-Ops détecté Charge utile malveillante signée avec une signature de l'éditeur du programme de compatibilité matérielle Microsoft Windows dans le but de se faire passer pour légitime. Les résultats ont été transmis à Microsoft, et la CVE-2024-26234 est la révocation du certificat impliqué, elle n'est donc plus considérée comme fiable.
Il est possible de rechercher des charges utiles signées avec la signature impliquée à l'aide d'Insight. Les clients concernés peuvent exécuter la requête suivante pour voir s'il existe un processus en cours d'exécution signé avec le certificat révoqué :
SELECT issuer_name, path
FROM authenticode
WHERE
path IN (SELECT DISTINCT path FROM processes)
AND
serial_number = '3300000057ee4d659a923e7c10000000000057'
AND
subject_name = 'Microsoft Windows Hardware Compatibility Publisher'
Microsoft Defender pour IoT.
Microsoft Defender pour IoT est une plateforme de sécurité qui aide à défendre les composants de réseau industriel, tels que les appareils de l'Internet des objets (IoT), les systèmes de contrôle industriels et les technologies opérationnelles. Trois vulnérabilités critiques d'exécution de code à distance (RCE) ont été corrigées ce mois-ci et trois vulnérabilités importantes d'élévation des privilèges (EoP).
Les vulnérabilités elles-mêmes affectent différents composants de la pile Defender pour IoT. La CVE-2024-21322 est une RCE qui est exploitée via l'application Web du portail, tandis que la CVE-2024-21323 est une RCE qui est exploitée via un package de mise à jour de capteur. Quel que soit le composant, toutes les vulnérabilités sont exploitables sur le réseau, il est donc possible de détecter ou d'atténuer une partie du risque en utilisant une segmentation du réseau.
Numéro CVE |
Effet |
|---|---|
Exécution de code à distance |
|
Escalade de privilèges |
|
Service de routage et d'accès à distance de Windows (RRAS)
Le service de routage et d'accès à distance (RRAS) est un service de Windows grâce auquel le système d'exploitation peut se comporter comme un routeur, permettant ainsi des connexions de site à site à l'aide de VPN ou d'accès à distance. Il y a trois vulnérabilités critiques dans le service ce mois-ci, toutes avec le score CVSS de 8,8. Les notes de correctif ne sont pas très explicites, et indiquent uniquement que les vulnérabilités RCE sont déclenchées par un serveur malveillant sur un client peu méfiant. Il est donc possible d'atténuer certains des risques posés par ces vulnérabilités grâce au Zero Trust et à la segmentation..
Le RRAS n'est pas disponible sur tous les serveurs Windows, il fait partie du rôle d'accès à distance et doit être spécifiquement installé. Dans nos observations, nous avons constaté qu'environ 12 % des environnements surveillés disposent de serveurs Windows avec le rôle d'accès à distance installé.
En plus du RRAS, le patch de ce mois-ci contient plusieurs CVE dans le gestionnaire de connexion d'accès à distance.. Les deux services sont liés, car le Gestionnaire de connexion est utilisé pour organiser les profils de connexion au RRAS (entre autres).
Numéro CVE |
Composant |
Effet |
|---|---|---|
RRAS |
Exécution de code à distance |
|
Gestionnaire de connexions |
Escalade de privilèges |
|
Divulgation d'informations |
||
Authentification Windows
L'authentification Windows est un terme assez large, car il existe plusieurs méthodes, protocoles et fournisseurs d'authentification en charge par Windows. Les deux CFE de l'authentification Windows sont deux composants complètement différents.
La CVE-2024-21447 est une vulnérabilité EoP dans le service de Gestionnaire des utilisateurs, probablement due à des restrictions de répertoire incorrectes. C'est un contournement de la CVE-2023-36047,car il s'agissait apparemment un correctif partiel.
La CVE-2024-29056,cependant, semble être un problème dans la mise en œuvre de la validation Kerberos PAC, selon la section FAQ et les articles de la base de connaissances associés.. Elle est peut-être également liée aux autres CVE Kerberos.
Numéro CVE |
Composant |
Effet |
|---|---|---|
Gestion des utilisateurs |
Escalade de privilèges |
|
Validation Kerberos PAC |
||
Windows Kerberos |
Déni de service |
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Divulgation d'informations |
Local |
||
Exécution de code à distance |
Interaction locale de l'utilisateur requise |
||
Réseau |
|||
Contournement de la fonction de sécurité |
Interaction réseau de l'utilisateur requise |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.