Vous avez besoin du Cloud Computing ? Commencez dès maintenant

Le point de vue d'Akamai sur le Patch Tuesday de décembre 2024

Ce mois-ci, il y a 71 CVE au total dans 32 composants différents. Parmi ces CVE, 17 sont critiques et une a été observée « in the wild ».
Ce mois-ci, il y a 71 CVE au total dans 32 composants différents. Parmi ces CVE, 17 sont critiques et une a été observée « in the wild ».

À quoi servent les calendriers de l'avent ? Donnez-nous tout en une seule fois et immédiatement. Et par tout, nous entendons les CVE. Ce mois-ci, il y a 71 CVE au total dans 32 composants différents. Parmi ces CVE, 17 sont critiques et une a été observée « in the wild ».

Dans cet article de blog, nous évaluerons l'importance des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.

Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !

Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :

Pilote Windows Common Log File System

Le Common Log File System est une API de Windows qui fournit des capacités de journalisation hautes performances. Pour interagir avec elle, les développeurs et les programmes s'appuient sur le fichier DLL Clfsw32.dll, qui est un composant en mode utilisateur. Cependant, en arrière-plan, la logique est implémentée dans un pilote de noyau : clfs.sys. Les vulnérabilités qui ont été corrigées ce mois-ci se trouvent probablement dans ce pilote de noyau.

Cela mérite d'être souligné, car les attaquants pourraient être en mesure d'utiliser ce pilote légitime comme technique d'élévation des privilèges même sur un système corrigé, via une attaque Bring Your Own Vulnerable Driver (BYOVD) .

Il existe trois CVE, toutes concernant l'élévation locale de privilèges. Une seule d'entre elles, CVE-2024-49138, a été détectée « in the wild » : CVE-2024-49138.

Numéro CVE

Effet

CVE-2024-49138

Escalade de privilèges

CVE-2024-49090

CVE-2024-49088

Windows LDAP (Lightweight Directory Access Protocol, protocole léger d'accès aux annuaires)

LDAP (Lightweight Directory Access Protocol) de Windows est un protocole open source conçu pour la connexion ainsi que l'interrogation de services d'annuaire et de bases de données. Le contrôleur de domaine d'Active Directory dispose d'une implémentation de serveur LDAP permettant aux programmes et serveurs utilisant LDAP d'utiliser le contrôleur de domaine existant sans nécessiter de serveur distinct.

Ce mois-ci, le service LDAP présente quatre vulnérabilités affectant les contrôleurs de domaine non corrigés. Deux sont des vulnérabilités d'exécution de code à distance (RCE) et deux sont des vulnérabilités de déni de service (DoS). Aucune des quatre ne nécessite d'authentification.

Numéro CVE

Effet

CVE-2024-49112

Exécution de code à distance

CVE-2024-49127

CVE-2024-49121

Déni de service

CVE-2024-49113

Il existe également une autre vulnérabilité RCE, CVE-2024-49124, attribuée au client LDAP. Cependant, ses remarques font référence à l'exploitation côté serveur. On ignore pour le moment s'il s'agit du client ou du serveur.

Nous ne pouvons pas corriger notre contrôleur de domaine et risquer l'arrêt des services. Les vulnérabilités peuvent-elles être atténuées ailleurs ?

Pas vraiment. Comme le contrôleur de domaine est intégré à toutes les parties du domaine, il est pratiquement impossible de limiter l'accès à celui-ci sans compromettre les opérations normales du réseau. Il pourrait même être difficile de retracer les vulnérabilités, puisqu'elles ne nécessitent pas d'authentification. Les équipes de réponse aux incidents doivent être particulièrement attentives aux sessions LDAP de courte durée qui n'obtiennent pas de réponse du serveur. Cela peut indiquer une tentative d'exploitation.

Dans tous les cas, assurez-vous que les contrôleurs de domaine ne sont pas accessibles via Internet.

Déploiement des services de bureau à distance Windows

Le Bureau à distance Windows est utilisé pour la connexion de bureau à distance entre des machines Windows via le protocole RDP (Remote Desktop Protocol). Il y a plusieurs vulnérabilités ce mois-ci dans les différents composants du Bureau à distance Windows, nous allons donc les étudier ensemble.

Les principales sont, bien sûr, les neuf vulnérabilités critiques RCE sur le serveur de bureau à distance. Un attaquant a « seulement » besoin de se connecter à un serveur RDP, de le spammer avec des paquets malformés et de gagner face à une concurrence critique qui peut ensuite être exploitée pour une vulnérabilité RCE.

Comme RDP est très commun dans les réseaux et qu'il peut être utilisé pour les mouvements latéraux, nous recommandons de mettre en place des règles en conséquence. Dans le cadre de nos observations, 96 % des réseaux disposaient d'un trafic Windows RDP, et 20 % d'entre eux n'avaient aucune restriction sur certaines parties de  ce trafic. Le point positif est que la plupart des CVE se réfèrent spécifiquement aux serveurs ayant le rôle de passerelle des services de bureau à distance, bien que leur titre indique qu'ils affectent tous les services Bureau à distance de Windows. Les passerelles des services de bureau à distance sont moins courantes et, de notre point de vue, seuls 36 % des environnements en sont dotés.

Numéro CVE

Effet

CVE-2024-49129

Déni de service

CVE-2024-49075

CVE-2024-49106

Exécution de code à distance

CVE-2024-49108

CVE-2024-49115

CVE-2024-49119

CVE-2024-49120

CVE-2024-49123

CVE-2024-49132

CVE-2024-49116

CVE-2024-49128

CVE-2024-49105

Exécution de code à distance, côté client

La restriction de l'accès RDP aux machines des utilisateurs ou uniquement aux serveurs pré-autorisés (comme les jump boxes), peut considérablement réduire le risque que présentent ces vulnérabilités. Nous avons abordé quelques gains rapides concernant RDP dans notre article de blog sur la segmentation. Quelle que soit la règle appliquée, nous vous recommandons de corriger le problème dès que possible.

Microsoft Message Queuing (MSMQ)

Le service Microsoft Message Queuing (MSMQ) est une fonction facultative de Windows, utilisée pour transmettre des messages entre différentes applications. Bien que facultative, elle est utilisée en coulisses par de nombreuses applications d'entreprise pour Windows, comme Microsoft Exchange Server. D'après nos observations, le service est installé dans près de 70 % des environnements, généralement sur plus d'une machine.

Ce mois-ci, il existe deux vulnérabilités critiques de type RCE, qui peuvent permettre à des attaquants d'exécuter du code à distance en envoyant un paquet spécifiquement conçu au serveur MSMQ de la victime. Aucune authentification n'est requise. Il existe également une autre vulnérabilité DoS.

Le service MSMQ étant accessible sur le port 1801, mais par un nombre peu élevé de clients (puisqu'il est principalement utilisé par l'application d'entreprise elle-même), nous vous recommandons de restreindre l'accès réseau arbitraire à ce port et à ce service. Essayez de segmenter le service à l'aide de règles de liste blanche, en autorisant uniquement l'accès aux machines qui en ont réellement besoin. Vous pouvez consulter notre article de blog sur la segmentation, en particulier les sections du Cloisonnement des applications et de la microsegmentation basées sur logiciel pour plus d'informations.

Numéro CVE

Effet

CVE-2024-49118

Exécution de code à distance

CVE-2024-49122

CVE-2024-49096

Déni de service

Service LSASS (Local Security Authority Subsystem Service) Windows

Le service LSASS (Local Security Authority Subsystem Service) est un processus central du système d'exploitation Windows. Il s'exécute en mode utilisateur, mais en tant que processus protégé, et il est responsable de la gestion de l'accès et de la sécurité, à savoir la connexion des utilisateurs, la vérification des mots de passe et la gestion des jetons de sécurité.

Une tactique couramment  utilisée par les attaquants et les équipes d'intervention consistait à vider la mémoire du processus afin d'obtenir les mots de passe des utilisateurs qui y étaient stockés. Microsoft a mis un terme à cette pratique en ajoutant davantage de mécanismes de sécurité au processus, notamment en le protégeant et, depuis peu, en utilisant Hyper-V pour l'isoler du mode utilisateur normal. Cet aspect est important.

En tant que processus responsable des ouvertures de session, il est également toujours à l'écoute de certains composants du réseau, notamment sous la forme de serveurs RPC. La vulnérabilité RCE critique de ce mois-ci, CVE-2024-49126, concerne l'un de ces composants : Une concurrence critique peut permettre à un attaquant distant d'exécuter un code arbitraire sur le processus sans avoir à s'authentifier.

Services précédemment couverts

De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.

Service

Numéro CVE

Effet

Accès requis

Microsoft SharePoint

CVE-2024-49070                   

Exécution de code arbitraire

Réseau ; l'utilisateur doit ouvrir un fichier malveillant

CVE-2024-49068                                            

Escalade de privilèges

Réseau

CVE-2024-49064

Divulgation d'informations

CVE-2024-49062

Service de routage et d'accès à distance de Windows (RRAS)

CVE-2024-49085

Exécution de code à distance

Réseau

CVE-2024-49086

CVE-2024-49089

CVE-2024-49102

CVE-2024-49104

CVE-2024-49125

Windows Hyper-V

CVE-2024-49117

Exécution de code à distance

Local ; invité-vers-hôte

Planificateur de tâches Windows

CVE-2024-49072

Escalade de privilèges

Local

Pilote de mini-filtre de fichiers cloud Windows

CVE-2024-49114

Escalade de privilèges

Local

Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.