Le point de vue d'Akamai sur le Patch Tuesday d'août 2023
Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées.
Ce mois-ci, 73 CVE ont été publiés, ainsi que 3 alertes. Cela représente un peu plus de la moitié par rapport au mois dernier, ce qui est une bonne chose, car le camp d'été des hackers est une menace pour nous et personne n'a de temps à perdre sur des correctifs, n'est-ce pas ? Il existe six CVE critiques dans Microsoft Teams, Microsoft Message Queuing et Microsoft Outlook. Il existe également une vulnérabilité de déni de service (DoS), CVE-2023-38180, dans .NET Core et Visual Studio, signalée comme exploitée « in the wild », ainsi qu'un CVE signalé par Ben Barnea d'Akamai.
Dans ce rapport, nous nous concentrons sur les domaines suivants où les bugs ont été corrigés :
Plateformes Windows HTML (signalées par Akamai)
.NET Core et Visual Studio (exploitées « in the wild »)
Dans ce rapport, nous évaluerons l'importance réelle des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés, dans le but de donner un point de vue réaliste sur les bogues ayant été corrigés. Vous pouvez également voir une rapide synthèse du patch sur notre compte Twitter. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit en effet d'un rapport de mise à jour auquel nous pourrons ajouter des informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Vulnérabilité signalée par un chercheur d'Akamai
CVE-2023-35384 Plateformes Windows HTML (CVSS 5.4)
Malgré la faible gravité attribuée à cette vulnérabilité, il faut toutefois prendre en considération son contexte et ses conséquences. Ben Barnea l'a découverte lors de son analyse du Patch Tuesday de mai et elle a été corrigée ce mois-ci.
Initialement, Microsoft a apporté un correctif au CVE-2023-23397 — une vulnérabilité d'escalade de privilèges (EoP) dans Outlook qui avait été exploitée « in the wild ». Cette vulnérabilité permettait à un attaquant d'envoyer un e-mail à la victime, de déclencher une connexion SMB à son propre serveur contrôlé par ses soins et, par conséquent, d'intercepter (et éventuellement de craquer ou de relayer) les informations d'identification NTLM. Il s'agissait d'une vulnérabilité de type Zero Click qui pouvait être exploitée par un attaquant non authentifié depuis tout accès Internet.
Le correctif apporté au CVE-2023-23397 a ajouté une vérification pour répertorier un chemin comme local, intranet, Internet, etc. Cette vérification pouvait toutefois être contournée en fournissant un chemin spécialement créé, comme nous l'avons expliqué et démontré dans un précédent billet de blog,.
Le CVE-2023-35384 est également un contournement au correctif de Microsoft. Vous ne comprenez pas tout ? Essayons d'y voir plus clair :
Vulnérabilité EoP critique d'origine dans Microsoft Outlook |
Signalée par l'équipe ukrainienne CERT (Computer Emergency Response Team) |
|
Contournement du correctif pour CVE-2023-23397, corrigé en mai |
Signalé par Ben Barnea, chercheur d'Akamai |
|
Autre contournement du correctif pour CVE-2023-23397, corrigé ce mois-ci (août) |
Nous prévoyons de partager les détails du CVE-2023-35384 et de démontrer son exploitation de manière surprenante, alors veillez à ne pas manquer notre publication.
Vulnérabilité exploitée « in the wild »
CVE-2023-38180 — .NET Core et Visual Studio (CVSS 7.5)
Il s'agit d'une vulnérabilité DoS, mais aucune note, FAQ ou accusé de réception n'a été publié avec ce CVE. Par conséquent, il est presque impossible d'émettre des suppositions sur sa cause profonde. Cependant, le fait que le vecteur d'attaque soit le réseau nous donne quelques indices. Clause de non-responsabilité : Le paragraphe suivant est une simple hypothèse.
Selon les résultats des tests que nous avons réalisés sur les instances de Visual Studio installées en local, ce CVE ne semble pas accepter les connexions entrantes (bien que nous ayons constaté des connexions sortantes depuis son processus). Il est ainsi plus probable que le vecteur d'attaque ne soit pas atteint par les attaquants qui rejoignent directement le processus sur le réseau, mais plutôt par l'envoi à la victime d'un fichier conçu de manière malveillante et qui fait ensuite planter son instance de Visual Studio et de .NET Core.
Microsoft Message Queuing
Onze vulnérabilités ont été corrigées ce mois-ci dans le service Microsoft Message Queuing (MSMQ). Trois vulnérabilités critiques d'exécution de code à distance (RCE) 9.8, six vulnérabilités DoS et deux vulnérabilités de divulgation d'informations.
Le service MSMQ est une fonction facultative de Windows, qui est utilisée pour transmettre des messages entre différentes applications. Bien qu'elle soit facultative, elle est utilisée en coulisses par de nombreuses applications d'entreprise pour Windows, telles que Microsoft Exchange Server. Dans le cadre de nos observations, nous avons constaté que le service était installé sur près de 69 % des environnements, et généralement sur plus d'une machine.
Le service MSMQ étant accessible sur le port 1801, mais par un nombre peu élevé de clients (puisqu'il est principalement utilisé par l'application d'entreprise elle-même), nous vous recommandons de restreindre l'accès réseau arbitraire à ce port et à ce service. Essayez de le segmenter à l'aide de règles de liste blanche, en autorisant uniquement l'accès aux machines qui en ont réellement besoin. Pour obtenir de l'aide sur la segmentation, vous pouvez vous référer à notre article de blog La (micro)segmentation d'un point de vue pratique (et plus particulièrement aux sections Cloisonnement des applications et Microsegmentation) .
Numéro CVE |
Effet |
Accès requis |
|---|---|---|
Exécution de code à distance |
Réseau |
|
Déni de service |
||
Divulgation d'informations |
||
Microsoft Exchange Server
Ce mois-ci, six CVE ont été identifiés dans Microsoft Exchange Server, dont quatre permettent l'exécution de code à distance sur le serveur distant et deux sont des vulnérabilités EoP ou des vulnérabilités d'usurpation critique. Dans le cadre de nos observations, nous avons constaté que près de 28 % des environnements comptaient des serveurs Microsoft Exchange sur site.
Le CVE EOP CVE-2023-21709est en fait celui qui présente le score CVSS le plus élevé (9.8), bien qu'il soit classé comme « Important » et non comme « Critique ». Selon Microsoft, cette vulnérabilité pourrait permettre à des attaquants d'obtenir en force le mot de passe d'un utilisateur Exchange et de se connecter sous le nom de cet utilisateur. La gravité importante est due au fait que les attaques en force ne devraient pas fonctionner contre les utilisateurs disposant de mots de passe complexes.
Pour ce CVE, un simple correctif ne suffit pas. Microsoft fournit donc un script supplémentaire, CVE-2023-21709.ps1, que les administrateurs doivent exécuter après l'installation du correctif. Vous pouvez également utiliser la commande suivante :
Clear-WebConfiguration -Filter "/system.webServer/globalModules/add[@name='TokenCacheModule']" -PSPath "IIS:\"
Microsoft précise également que l'exécution du script (ou de la commande ci-dessus) peut corriger la vulnérabilité à la place du correctif, mais ils recommandent fortement (et nous aussi) d'appliquer des correctifs dès que possible.
Numéro CVE |
Effet |
Accès requis |
|---|---|---|
Exécution de code à distance |
Réseau |
|
Réseau adjacent |
||
Escalade de privilèges |
Réseau |
|
Usurpation |
Microsoft Teams
Intégrée à Microsoft 365, Microsoft Teams est la plateforme de communication, de messagerie et de visioconférence propriétaire de Microsoft. Ce mois-ci, il existe deux CVE critiques d'exécution de code à distance dans Teams. Ces deux CVE exigent que l'utilisateur participe activement à une réunion malveillante configurée par l'acteur malveillant. Les acteurs malveillants pourraient alors exécuter du code à distance dans l'environnement de l'utilisateur victime.
Selon nos observations, 44 % des environnements étaient équipés de Microsoft Teams.
Numéro CVE |
Effet |
Accès requis |
|---|---|---|
Exécution de code à distance |
Réseau |
|
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Usurpation |
Réseau |
||
Divulgation d'informations |
|||
Windows LDAP (Lightweight Directory Access Protocol, protocole léger d'accès aux annuaires) |
Exécution de code à distance |
Réseau |
|
Exécution de code arbitraire |
Local |
||
Divulgation d'informations |
Local |
||
