Le point de vue d'Akamai sur le Patch Tuesday de décembre 2022
Le Patch Tuesday de décembre 2022 de Microsoft a été publiéet le groupe Security Intelligence d'Akamai a entrepris d'examiner les vulnérabilités les plus intrigantes qui ont été corrigées. Noël semble être en avance cette année, car la mise à jour de décembre est beaucoup plus légère que celles des mois précédents, l'occasion de paniquer un peu moins avant les fêtes, au moins jusqu'à l'arrivée du prochain successeur de Log4Shell (nous avons déjà un beau candidat alors,s'il vous plaît corrigez vos vulnérabilités !).
Dans ce rapport, nous évaluerons l'importance réelle des vulnérabilités ainsi que le degré de banalisation des applications et des services affectés. Nous donnerons également un point de vue réaliste sur les bugs ayant été corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Dans ce rapport, nous nous concentrons sur les domaines suivants où les bugs ont été corrigés :
Pour chaque service concerné abordé dans ce rapport, nous essayons de proposer des recommandations de surveillance et d'atténuation lorsque l'application de correctifs n'est pas possible. Bien sûr, aucune mesure d'atténuation n'est aussi efficace que l'application de correctifs. Par conséquent, nous vous recommandons d'appliquer les correctifs à vos systèmes dès que possible et de les maintenir à jour.
Windows PowerShell
Windows PowerShell est un outil utile à l'administration et à la gestion système, ainsi qu'à l'automatisation. Il est disponible par défaut avec la plupart des versions de Windows. Ce mois-ci, il a reçu un correctif CVE critique, CVE-2022-41076. Celui-ci a obtenu un score CVSS de 8,5. Cette CVE est en fait destinée à PowerShell Remote. PowerShell prend en charge les commandes à distance via le protocole WinRM. Cette option n'est pas activée par défaut. Les serveurs doivent activer PSRemoting avant que l'accès ou la communication puisse avoir lieu. Une exploitation réussie de la CVE permet à un pirate authentifié de quitter la configuration de sa session PSRemote et d'exécuter des commandes non approuvées.
Portée
La communication avec PowerShell Remote ayant lieu via WinRM, nous pouvons évaluer l'étendue de son utilisation en recherchant des connexions WinRM. Dans 77 % de nos environnements surveillés, WinRM était activé sur au moins un ordinateur,et dans ces réseaux, 27 % des machines surveillées en moyenne acceptaient des connexions WinRM. Nous avions des réseaux sans aucun WinRM, et quelques-uns avec plus de 95 % de machines où WinRM était activé.
Recommandations générales
La première et principale recommandation est de toujours corriger les vulnérabilités de tous les systèmes. Si vous ne pouvez pas appliquer immédiatement un correctif, nous pouvons nous appuyer sur certains aspects de PowerShell Remote pour atténuer certains risques :
PowerShell Remote et WinRM ne sont pas activés par défaut. Par conséquent, seules les machines sur lesquelles ils sont activés sont à risque. Vous pouvez vérifier si WinRM est activé en vérifiant si le service WinRM est en cours d'exécution ou à l'aide de la commande PowerShell Test-WSMan. Par ailleurs, si vous disposez d'une visibilité sur le réseau, vous pouvez rechercher les communications sur les ports TCP 5985 et 5986, les ports WinRM par défaut.
Pour les machines sur lesquelles WinRM est activé, vous pouvez utiliser la microsegmentation pour limiter l'accès aux seules sources nécessaires (par exemple, uniquement le personnel ou les services informatiques). Il peut s'agir des ports TCP 5985 et 5986, les ports WinRM par défaut. Pour déterminer à qui ou à quoi l'accès doit être autorisé, nous vous recommandons d'utiliser un outil de visibilité sur le réseau ou un analyseur réseau pour voir les schémas de communication existants.
Si vous découvrez que des machines où WinRM est activé ne reçoivent aucune connexion, ou si vous pensez que WinRM n'a pas besoin d'être activé, vous pouvez le désactiver.
En utilisant la visibilité, la segmentation et en désactivant l'utilisation inutile du service, vous pouvez réduire considérablement l'impact de la CVE, jusqu'à ce que vous trouviez le temps de corriger les vulnérabilités du système.
Sous-système d'exécution client/serveur Windows
Le sous-système d'exécution client/serveur Windows (CSRSS) est un processus système responsable de diverses fonctions sur un ordinateur Windows. Il sert notamment à créer et supprimer des processus et des threads, et à prendre en charge les applications de console.
Le processus csrss.exe est si essentiel qu'il est lancé sur chaque ordinateur Windows au démarrage du système et ne peut pas être arrêté. La fin de ce processus entraînerait le redoutable écran bleu de la mort (arrêt du système).
Ce mois-ci, un CVE d'escalade de privilèges est corrigé dans le CSRSS, CVE-2022-44673,avec un score CVSS de 7, marqué comme important. Selon le rapport de Microsoft, un pirate qui a réussi à exploiter cette vulnérabilité peut obtenir des privilèges SYSTÈME.
Bien que la complexité des attaques soit marquée comme « élevée », Microsoft mentionne également dans son rapport que son « exploitation est plus probable », et étant donné que CSRSS s'exécute sur chaque ordinateur Windows,nous recommandons vivement l'application de correctifs.
Microsoft Office
Noël ne peut pas se passer sans cadeaux, et les CVE de Microsoft Office sont d'humeur généreuse ce mois-ci. Il y a 10 vulnérabilités, toutes avec un score CVSS de 7,8, d'une gravité importante. Elles sont réparties sur trois produits/composants : Visio, OneNote et Microsoft Office Graphics.
Le vecteur d'attaque
Bien que tous les CVE soient marqués comme exécution de code à distance, il s'agit en fait de vulnérabilités d'exécution de code arbitraire (ACE). Cela signifie qu'un pirate ne peut pas exploiter les vulnérabilités lui-même, mais qu'il doit au contraire inciter l'utilisateur à les exploiter par le biais de l'ingénierie sociale. Pour exploiter cette vulnérabilité, il faut amener l'utilisateur/la victime à télécharger un fichier spécialement conçu, puis à l'ouvrir dans le logiciel vulnérable correspondant.
Le fait d'inciter les utilisateurs finaux à la vigilance face aux tentatives d'ingénierie sociale peut contribuer à réduire le risque d'exploitation réussie. Assurez-vous que les utilisateurs finaux comprennent comment ne pas succomber aux escroqueries de Noël, ou vous pourriez retrouver du charbon sous votre sapin à votre retour de vacances. Par ailleurs, comme ces applications ne résident généralement pas sur les serveurs, il peut être plus facile de corriger les vulnérabilités sur les terminaux des utilisateurs, car leurs temps d'arrêt sont généralement moins coûteux que ceux des serveurs.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Composant |
|---|---|
Microsoft Office Graphics |
|
Microsoft Office Visio |
|
Microsoft Office OneNote |
Services précédemment couverts
De nombreux CVE du Patch Tuesday de ce mois-ci concernent des systèmes que nous avons déjà abordés par le passé, et nous n'avons rien de nouveau à dire sur leur atténuation. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos publications précédentes.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Exécution de code à distance |
Authentifié avec les autorisations gestion de la liste |
||
Exécution de code à distance |
Réseau |
||
Exécution de code à distance |
Connexion authentifiée via le TCP WCF |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées.
