Le point de vue d'Akamai sur le Patch Tuesday de décembre 2023
C'est le dernier Patch Tuesday, tout le monde — et il semble que Microsoft ait pris congé pour les fêtes de fin d'année puisqu'il n'y a que 33 CVE corrigés ce mois-ci. Akamai, cependant, n'a pas pris de congé : une CVE de l'un de nos collègues, Ben Barnea, fait partie du correctif.
Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées. Sur les 33 CVE corrigées ce mois-ci, quatre sont critiques (mais seules trois peuvent permettre d'exécuter un code à distance [RCE]), le score CVSS le plus élevé étant de 9,6. Aucune CVE n'a été signalée comme divulguée publiquement ou exploitée « in the wild » ce mois-ci.
Dans ce rapport, nous évaluerons l'importance réelle des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Plateforme Windows MSHTML
Il s'agit d'une vulnérabilité RCE dans le composant MSHTML, découverte par Ben Barnea, chercheur chez Akamai.
MSHTML est un moteur de rendu de page Web pour le système d'exploitation Windows. Il expose une interface Component Object Model (COM) pour permettre aux programmes d'ajouter des capacités de rendu Web. Il est utilisé par Internet Explorer, le mode Internet Explorer de Microsoft Edge, Microsoft Outlook et divers autres programmes.
Comme le mentionne l'avis de Microsoft, cette vulnérabilité peut être utilisée contre les clients Outlook et peut être déclenchée avant que l'e-mail ne soit consulté. La vulnérabilité est une vulnérabilité de corruption de mémoire facile à déclencher, mais son exploitation est complexe.
Nous partagerons plus de détails techniques, y compris des informations sur un vecteur supplémentaire (autre que l'e-mail) qui déclenche cette vulnérabilité dans les semaines à venir.
Microsoft Edge (basé sur Chromium)
Microsoft Edge est un navigateur Web multiplateforme propriétaire. Bien qu'il ait été initialement développé à l'aide d'outils propriétaires, Microsoft a entièrement porté le navigateur pour utiliser le projet open source Chromium de Google en 2020.
Il y a trois CVE liées à Microsoft Edge ce mois-ci — deux vulnérabilités de divulgation d'informations de faible gravité, CVE-2023-38174 et CVE-2023-36880, et une vulnérabilité d'escalade de privilèges (EoP) de gravité modérée, CVE-2023-35618. Toutes les vulnérabilités exigent que l'attaquant incite l'utilisateur à visiter un site Web ou à ouvrir un lien, c'est-à-dire qu'il tombe dans le piège des attaques par hameçonnage.
Curieusement, alors que la vulnérabilité EoP est classée comme étant de gravité modérée, son score CVSS est très élevé puisqu'il est de 9,6. Cette disparité s'explique par la complexité requise pour déclencher la vulnérabilité. Selon Microsoft : pour déclencher la vulnérabilité, l'attaquant doit inciter l'utilisateur à ouvrir une page Web ou un serveur qui héberge un contenu spécialement conçu, puis l'inciter à ouvrir un fichier spécialement conçu. Ce processus en plusieurs étapes a permis de réduire la gravité de la vulnérabilité, conformément aux lignes directrices du programme Bounty de Microsoft.
Microsoft Edge est fourni par défaut avec le système d'exploitation Windows. D'après nos observations, il s'agit du navigateur le plus utilisé dans les réseaux d'entreprise - utilisé par 52 % des machines qui exécutent un navigateur.
Connecteur Microsoft Power Platform
Microsoft Power Platform est un ensemble d'outils et de produits qui facilitent la veille stratégique et le développement d'applications. Un connecteur est un proxy ou un wrapper API qui permet à un service sous-jacent de communiquer avec les produits Power Platform.
Il y a une seule CVE critique ce mois-ci, CVE-2023-36019, avec un score de base de 9,6. Cette CVE permet aux attaquants de manipuler des liens, des applications ou des fichiers afin de faire croire aux utilisateurs qu'ils interagissent avec une application légitime. Étant donné que les notes de correction mentionnent les connecteurs personnalisés (connecteurs que vous construisez vous-même lorsqu'il n'y a pas d'options disponibles auprès de Microsoft), nous supposons que c'est là que se trouve la vulnérabilité. Les notes de correctifs mentionnent également que les connecteurs personnalisés doivent être mis à jour pour recevoir un URI de redirection par connecteur.
Notre hypothèse est que les connecteurs ont pu partager leurs URI de redirection, ce qui a permis aux attaquants d'usurper des connecteurs ou des cibles pour tromper les utilisateurs et les amener à se connecter au mauvais endroit.
Microsoft a indiqué avoir contacté les clients concernés via le centre d'administration de Microsoft 365 ou via Service Health dans le portail Azure.
Partage de connexion Internet (« Internet Connection Sharing »)
Le partage de connexion Internet (« Internet Connection Sharing - ICS ») est un service Windows qui permet à un ordinateur connecté à Internet de partager sa connexion Internet avec d'autres ordinateurs du réseau local. L'ordinateur qui exécute le service ICS fournit des services DHCP (Dynamic Host Configuration Protocol) et NAT (Network Address Translation) aux ordinateurs adjacents qui l'utilisent.
Il y a trois CVE ce mois-ci, deux vulnérabilités RCE critiques avec un score CVSS de 8,8, et une autre vulnérabilité de déni de service (CVE-2023-35642) avec un score CVSS de 6,5 et une sévérité importante.
Les deux vulnérabilités critiques se trouvent dans la partie DHCP du service ICS. CVE-2023-35641 nécessite que l'attaquant envoie un paquet DHCP spécifiquement conçu pour réaliser un RCE.
CVE-2023-35630 nécessite que l'attaquant modifie un champ de longueur d'option dans un message d'entrée DHCPv6 — DHCPV6_MESSAGE_INFORMATION_REQUEST. Les deux vulnérabilités permettent aux attaquants de réaliser un RCE sur l'ordinateur de service ICS.
ICS est disponible par défaut sur les installations Windows (stations de travail et serveurs) et est généralement configuré pour être « trigger start » — c'est-à-dire qu'il est démarré après une connexion RPC à l'interface du serveur RPC IP NAT Helper.
Vous pouvez utiliser la requête suivante dans la fonction Insight d'Akamai Guardicore Segmentation pour rechercher le service ICS et son état :
SELECT status, start_type FROM services WHERE name='SharedAccess'
Dans le cadre de nos observations, 27 % des environnements avaient un service ICS en cours d'exécution sur certaines de leurs machines. En général, moins de 1 % des machines exécutaient le service ICS dans un seul réseau.
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Déni de service |
Réseau |
||
Déni de service |
Réseau |
||
Divulgation d'informations |
|||
Exécution de code à distance |
Réseau |
||
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.
