Le point de vue d'Akamai sur le Patch Tuesday de décembre 2024
À quoi servent les calendriers de l'avent ? Donnez-nous tout en une seule fois et immédiatement. Et par tout, nous entendons les CVE. Ce mois-ci, il y a 71 CVE au total dans 32 composants différents. Parmi ces CVE, 17 sont critiques et une a été observée « in the wild ».
Dans cet article de blog, nous évaluerons l'importance des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Pilote Windows Common Log File System
Le Common Log File System est une API de Windows qui fournit des capacités de journalisation hautes performances. Pour interagir avec elle, les développeurs et les programmes s'appuient sur le fichier DLL Clfsw32.dll, qui est un composant en mode utilisateur. Cependant, en arrière-plan, la logique est implémentée dans un pilote de noyau : clfs.sys. Les vulnérabilités qui ont été corrigées ce mois-ci se trouvent probablement dans ce pilote de noyau.
Cela mérite d'être souligné, car les attaquants pourraient être en mesure d'utiliser ce pilote légitime comme technique d'élévation des privilèges même sur un système corrigé, via une attaque Bring Your Own Vulnerable Driver (BYOVD) .
Il existe trois CVE, toutes concernant l'élévation locale de privilèges. Une seule d'entre elles, CVE-2024-49138, a été détectée « in the wild » : CVE-2024-49138.
Numéro CVE |
Effet |
---|---|
Escalade de privilèges |
|
Windows LDAP (Lightweight Directory Access Protocol, protocole léger d'accès aux annuaires)
LDAP (Lightweight Directory Access Protocol) de Windows est un protocole open source conçu pour la connexion ainsi que l'interrogation de services d'annuaire et de bases de données. Le contrôleur de domaine d'Active Directory dispose d'une implémentation de serveur LDAP permettant aux programmes et serveurs utilisant LDAP d'utiliser le contrôleur de domaine existant sans nécessiter de serveur distinct.
Ce mois-ci, le service LDAP présente quatre vulnérabilités affectant les contrôleurs de domaine non corrigés. Deux sont des vulnérabilités d'exécution de code à distance (RCE) et deux sont des vulnérabilités de déni de service (DoS). Aucune des quatre ne nécessite d'authentification.
Numéro CVE |
Effet |
---|---|
Exécution de code à distance |
|
Déni de service |
|
Il existe également une autre vulnérabilité RCE, CVE-2024-49124, attribuée au client LDAP. Cependant, ses remarques font référence à l'exploitation côté serveur. On ignore pour le moment s'il s'agit du client ou du serveur.
Nous ne pouvons pas corriger notre contrôleur de domaine et risquer l'arrêt des services. Les vulnérabilités peuvent-elles être atténuées ailleurs ?
Pas vraiment. Comme le contrôleur de domaine est intégré à toutes les parties du domaine, il est pratiquement impossible de limiter l'accès à celui-ci sans compromettre les opérations normales du réseau. Il pourrait même être difficile de retracer les vulnérabilités, puisqu'elles ne nécessitent pas d'authentification. Les équipes de réponse aux incidents doivent être particulièrement attentives aux sessions LDAP de courte durée qui n'obtiennent pas de réponse du serveur. Cela peut indiquer une tentative d'exploitation.
Dans tous les cas, assurez-vous que les contrôleurs de domaine ne sont pas accessibles via Internet.
Déploiement des services de bureau à distance Windows
Le Bureau à distance Windows est utilisé pour la connexion de bureau à distance entre des machines Windows via le protocole RDP (Remote Desktop Protocol). Il y a plusieurs vulnérabilités ce mois-ci dans les différents composants du Bureau à distance Windows, nous allons donc les étudier ensemble.
Les principales sont, bien sûr, les neuf vulnérabilités critiques RCE sur le serveur de bureau à distance. Un attaquant a « seulement » besoin de se connecter à un serveur RDP, de le spammer avec des paquets malformés et de gagner face à une concurrence critique qui peut ensuite être exploitée pour une vulnérabilité RCE.
Comme RDP est très commun dans les réseaux et qu'il peut être utilisé pour les mouvements latéraux, nous recommandons de mettre en place des règles en conséquence. Dans le cadre de nos observations, 96 % des réseaux disposaient d'un trafic Windows RDP, et 20 % d'entre eux n'avaient aucune restriction sur certaines parties de ce trafic. Le point positif est que la plupart des CVE se réfèrent spécifiquement aux serveurs ayant le rôle de passerelle des services de bureau à distance, bien que leur titre indique qu'ils affectent tous les services Bureau à distance de Windows. Les passerelles des services de bureau à distance sont moins courantes et, de notre point de vue, seuls 36 % des environnements en sont dotés.
Numéro CVE |
Effet |
---|---|
Déni de service |
|
Exécution de code à distance |
|
Exécution de code à distance, côté client |
La restriction de l'accès RDP aux machines des utilisateurs ou uniquement aux serveurs pré-autorisés (comme les jump boxes), peut considérablement réduire le risque que présentent ces vulnérabilités. Nous avons abordé quelques gains rapides concernant RDP dans notre article de blog sur la segmentation. Quelle que soit la règle appliquée, nous vous recommandons de corriger le problème dès que possible.
Microsoft Message Queuing (MSMQ)
Le service Microsoft Message Queuing (MSMQ) est une fonction facultative de Windows, utilisée pour transmettre des messages entre différentes applications. Bien que facultative, elle est utilisée en coulisses par de nombreuses applications d'entreprise pour Windows, comme Microsoft Exchange Server. D'après nos observations, le service est installé dans près de 70 % des environnements, généralement sur plus d'une machine.
Ce mois-ci, il existe deux vulnérabilités critiques de type RCE, qui peuvent permettre à des attaquants d'exécuter du code à distance en envoyant un paquet spécifiquement conçu au serveur MSMQ de la victime. Aucune authentification n'est requise. Il existe également une autre vulnérabilité DoS.
Le service MSMQ étant accessible sur le port 1801, mais par un nombre peu élevé de clients (puisqu'il est principalement utilisé par l'application d'entreprise elle-même), nous vous recommandons de restreindre l'accès réseau arbitraire à ce port et à ce service. Essayez de segmenter le service à l'aide de règles de liste blanche, en autorisant uniquement l'accès aux machines qui en ont réellement besoin. Vous pouvez consulter notre article de blog sur la segmentation, en particulier les sections du Cloisonnement des applications et de la microsegmentation basées sur logiciel pour plus d'informations.
Numéro CVE |
Effet |
---|---|
Exécution de code à distance |
|
Déni de service |
Service LSASS (Local Security Authority Subsystem Service) Windows
Le service LSASS (Local Security Authority Subsystem Service) est un processus central du système d'exploitation Windows. Il s'exécute en mode utilisateur, mais en tant que processus protégé, et il est responsable de la gestion de l'accès et de la sécurité, à savoir la connexion des utilisateurs, la vérification des mots de passe et la gestion des jetons de sécurité.
Une tactique couramment utilisée par les attaquants et les équipes d'intervention consistait à vider la mémoire du processus afin d'obtenir les mots de passe des utilisateurs qui y étaient stockés. Microsoft a mis un terme à cette pratique en ajoutant davantage de mécanismes de sécurité au processus, notamment en le protégeant et, depuis peu, en utilisant Hyper-V pour l'isoler du mode utilisateur normal. Cet aspect est important.
En tant que processus responsable des ouvertures de session, il est également toujours à l'écoute de certains composants du réseau, notamment sous la forme de serveurs RPC. La vulnérabilité RCE critique de ce mois-ci, CVE-2024-49126, concerne l'un de ces composants : Une concurrence critique peut permettre à un attaquant distant d'exécuter un code arbitraire sur le processus sans avoir à s'authentifier.
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
---|---|---|---|
Exécution de code arbitraire |
Réseau ; l'utilisateur doit ouvrir un fichier malveillant |
||
Escalade de privilèges |
Réseau |
||
Divulgation d'informations |
|||
Exécution de code à distance |
Réseau |
||
Exécution de code à distance |
Local ; invité-vers-hôte |
||
Escalade de privilèges |
Local |
||
Escalade de privilèges |
Local |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.