Le point de vue d'Akamai sur le Patch Tuesday d'août 2024
Las Vegas est inondée de hackers ces jours-ci, ils exploitent tout et ils sont partout. On se croirait dans le Far West, comme en témoigne le Patch Tuesday, au cours duquel six vulnérabilités ont été exploitées « in the wild ». Sur les 89 CVE publiés lors du Patch Tuesday d'août 2024, quatre ont été divulgués publiquement et un a été présenté lors de la conférence Black Hat. Ce mois-ci contenait également un avis.
Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées.
Dans cet article de blog, nous évaluerons l'importance des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
- Corruption de la mémoire du moteur de script (exploitée « in the wild »)
- Contournement de la fonction de sécurité Mark of the Web de Windows (exploitée « in the wild »)
- TCP/IP Windows
- Windows Network Virtualization
- Service de routage et d'accès à distance de Windows (RRAS)
- Microsoft Outlook
Vulnérabilités trouvées « in the wild »
CVE-2024-38178 — Corruption de la mémoire du moteur de script (CVSS 7,5)
Les langages de script Windows peuvent faire référence à plusieurs implémentations de langages de script dans Windows, tels que VBScript, JavaScript ou d'autres. Nous avons remarqué que le fichier jscript9.dll avait changé, nous avons donc supposé que la vulnérabilité qui avait été corrigée se trouvait dans le composant JScript.
JScript est l'implémentation par Microsoft d'ECMAScript, la même norme que celle qui se trouve derrière JavaScript et qui est utilisée par Internet Explorer. Chakra est également un moteur JavaScript, dérivé de JScript et utilisé par Microsoft Edge Legacy (les nouvelles versions d'Edge sont basées sur Chromium). Les deux sont implémentés en tant que DLL, appelés simplement jscript9.dll et chakra.dll.
Selon l'avis, la victime de l'attaque doit cliquer sur un lien et utiliser Edge en mode Internet Explorer. Nous pensons que cette vulnérabilité peut être déclenchée par d'autres moyens, notamment par Office.
CVE-2024-38213 — Mark of the Web de Windows (CVSS 6,5)
Il est important de noter que cette vulnérabilité a été corrigée en juin 2024,mais que l'avis n'a été publié qu'en août 2024.
Il s'agit d'une vulnérabilité de contournement de sécurité qui ignore l'avertissement de sécurité SmartScreen lors de l'ouverture de fichiers potentiellement malveillants téléchargés depuis le Web. Dans ce scénario, Windows SmartScreen est responsable de l'affichage d'un écran d'avertissement. Cette vulnérabilité nécessite que l'attaquant crée un fichier d'une manière spécifique qui entraînera l'absence de vérification du fichier de la part de Windows SmartScreen et permettra donc de contourner l'écran d'avertissement.
Ce n'est pas la première fois que des vulnérabilités de contournement de SmartScreen sont activement exploitées par des acteurs malveillants. Les correctifs de novembre 2023 et février 2024 incluaient également des correctifs de vulnérabilités de contournement qui ont été signalées comme étant activement exploitées.
Il y avait aussi quatre autres vulnérabilités exploitées « in the wild ».
TCP/IP Windows
La pile TCP/IP de Windows est un composant central de la fonctionnalité réseau du système d'exploitation. Elle gère le transport des données sur les réseaux à l'aide de la suite de protocoles TCP/IP, qui est la base de la communication sur Internet et sur la plupart des réseaux locaux.
Dans le système d'exploitation Windows, la pile TCP/IP est implémentée dans le pilote tcpip.sys. Ce module noyau est responsable de la gestion des protocoles réseau, y compris le TCP sur les couches de transport telles que IPv4 et IPv6.
CVE-2024-38063 (CVSS 9,8) est une vulnérabilité critique dans cette pile réseau qui autorise un pirate non authentifié à envoyer des paquets IPv6 spécialement conçus qui pourraient conduire à l'exécution de code à distance.
Un billet de blog remarquable par l'équipe du Centre de réponse aux problèmes de sécurité Microsoft a discuté des CVE fondés précédemment dans ce composant, où l'exécution de code à distance (RCE) et les attaques par déni de service (DoS) peuvent être réalisées à l'aide de paquets malveillants. Le CVSS indique que la complexité de l'attaque est faible (AC:L) contrairement aux résultats précédents.
Selon Microsoft, les machines sur lesquelles la couche IPv6 est désactivée sont protégées contre cette vulnérabilité. Nous pensons que cette vulnérabilité peut être utilisée par des acteurs malveillants en raison de l'utilisation généralisée de la couche IPV6, de la faible complexité de l'attaque et du fait qu'elle est accessible à des pirates non authentifiés, alors corrigez vos machines !
Vous pouvez utiliser l'osquery suivante pour détecter les cartes réseau activées et possédant une adresse IPv6 :
SELECT interface_details.connection_id, interface_addresses.address
FROM interface_details
JOIN interface_addresses ON interface_addresses.interface =
interface_details.interface
WHERE enabled=1 AND interface_addresses.address like "%::%";
Windows Network Virtualization
Windows Network Virtualization (WNV) est une fonctionnalité de la Virtualisation de réseau Hyper-V qui permet aux machines virtuelles (VM) de communiquer comme si elles se trouvaient sur le même sous-réseau, même si elles se trouvaient sur des sous-réseaux ou des réseaux physiques différents. Pour ce faire, il suffit de découpler les réseaux virtuels du réseau physique, ce qui permet aux machines virtuelles de se déplacer entre les hôtes physiques sans modifier les configurations réseau.
WNV utilise le Network Virtualization Generic Routing encapsulation (NVGRE) ou le Virtual extensible LAN (VXLAN) pour l'encapsulation de paquets, fournissant isolation, évolutivité et prise en charge multi-locataires dans les environnements cloud.
CVE-2024-38159 et CVE-2024-38160 pourraient tous deux mener à une évacuation invité-vers-hôte, qui à son tour pourrait se terminer en RCE. Bien que les deux vulnérabilités aient un CVSS de 9,1, elles ne concernent que Windows Server 2016 et Windows 10 (1607).
Microsoft suggère d'atténuer les vulnérabilités en exécutant les machines Hyper-V sur une autre plateforme virtuelle telle que VMware, ou en abandonnant complètement la virtualisation basée sur Hyper-V.
Service de routage et d'accès à distance de Windows (RRAS)
Le service de routage et d'accès à distance (RRAS) est un service de Windows grâce auquel le système d'exploitation peut se comporter comme un routeur, permettant ainsi des connexions de site à site à l'aide de VPN ou d'accès à distance. Il y a six vulnérabilités dans le service ce mois-ci, cinq d'entre elles avec le score CVSS de 8,8.
Les notes de correctif ne sont pas très explicites, et indiquent uniquement que les vulnérabilités RCE sont déclenchées par un serveur malveillant sur un client peu méfiant. Il est donc possible d'atténuer certains des risques posés par ces vulnérabilités grâce au Zero Trust et à la segmentation.
Le RRAS n'est pas disponible sur tous les serveurs Windows, il fait partie du rôle d'accès à distance et doit être spécifiquement installé. Nous avons constaté qu'environ 12 % des environnements surveillés disposent de serveurs Windows avec le rôle d'accès à distance installé.
Microsoft Outlook
Il semble que nous ne puissions pas avoir un Patch Tuesday sans vulnérabilité Outlook. CVE-2024-38173 est une vulnérabilité RCE dans Outlook. Bien que le volet de prévisualisation soit un vecteur d'attaque, la vulnérabilité nécessite les informations d'identification de la victime.
Pour déclencher cette vulnérabilité, un formulaire malveillant est téléchargé sur Exchange. Une fois que le système Outlook de la victime se synchronise avec Exchange, il télécharge le formulaire malveillant, ce qui peut conduire à l'exécution de code sur la machine de la victime. Cette vulnérabilité a été découverte par Morphisec et nous pensons qu'elle est similaire au CVE-2024-30103.
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.