Le point de vue d'Akamai sur le Patch Tuesday de février 2023
L'heure des cadeaux a sonné et Microsoft s'est surpassée en publiant environ 80 CVE corrigées, dont neuf critiques et cinq présentant un score CVSS élevé de 9,8. Trois des CVE corrigées auraient également été utilisées sur le terrain, devenant ainsi des correctifs Zero Day.
Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées.
Remarque : un problème a été constaté au niveau du correctif de ce mois-ci et des machines virtuelles Windows Server 2022 dotées du démarrage sécurisé s'exécutant sur VMware ESXi versions 7.0.x et inférieures. Il est possible qu'elles ne démarrent pas après l'installation de KB5022842.
Dans ce rapport, nous évaluerons l'importance réelle des vulnérabilités ainsi que le degré de banalisation des applications et des services affectés. Nous donnerons également un point de vue réaliste sur les bugs ayant été corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Dans ce rapport, nous nous concentrons sur les domaines suivants où les bugs ont été corrigés :
Vulnérabilités exploitées dans la vie réelle
CVE-2023-21823
Commençons par la vulnérabilité d'exécution de code à distance (RCE) dans le composant graphique de Windows. Bien que la vulnérabilité concerne une exploitation à distance, le vecteur d'attaque est répertorié comme local. Il est donc plutôt question d'une vulnérabilité d'exécution de code arbitraire (ACE) qui nécessite l'intervention d'un utilisateur sur un fichier téléchargé.
Curieusement, cette CVE concerne également Microsoft Office, y compris les versions iOS et Android. Par conséquent, la mise à jour n'est pas seulement administrée via Windows Update, mais également par le biais de Microsoft Store, Google Play et App Store. Ainsi, si vous avez désactivé les mises à jour automatiques dans l'une des boutiques en ligne, pensez à installer ces dernières manuellement sur vos terminaux.
CVE-2023-21715
Il s'agit d'une vulnérabilité de contournement de sécurité dans Microsoft Publisher. Elle concerne plus précisément le marqueur « Mark-of-the-Web » (MOTW). En règle générale, les fichiers téléchargés à partir d'Internet sont marqués en interne, de sorte que le système d'exploitation ou les programmes ne les approuvent et ne les exécutent pas automatiquement (ni les macros qu'ils contiennent). Dans ce cas précis, Microsoft Publisher ne gérait pas le marqueur MOTW et permettait l'exécution de macros dans les fichiers téléchargés à partir du Web. Ce problème a été corrigé grâce à cette CVE. Haifei Li, chercheur en sécurité, a d'ailleurs rédigé une analyse plus détaillée sur Twitter.
CVE-2023-23376
Il s'agit d'une vulnérabilité d'escalade de privilèges du pilote Common Log File System de Windows qui permet aux attaquants d'obtenir des privilèges SYSTÈME. Aucun détail supplémentaire n'est disponible actuellement.
Protocole Microsoft Protected Extensible Authentication Protocol
Le Protected Extensible Authentication Protocol (PEAP) est un protocole qui englobe l'Extensible Authentication Protocol (EAP) dans une session TLS. L'EAP est utilisé pour authentifier les terminaux et les connexions aux réseaux, ainsi que pour l'authentification du réseau Wi-Fi.
Les serveurs Windows peuvent être configurés avec un rôle facultatif, NPS (Network Policy Server), pour être utilisés afin d'authentifier et d'autoriser les demandes de connexion réseau avec l'EAP et le PEAP. Cette option n'est pas activée par défaut : le rôle du NPS doit être défini et configuré manuellement. D'après nos observations, seulement 21 % des réseaux disposent de serveurs NPS.
Dans la mesure où un NPS est censé être essentiel pour le réseau et traiter les demandes d'authentification, il peut être difficile d'appliquer des stratégies de segmentation sur ce réseau. À la place, selon Microsoft, une solution possible serait de ne pas inclure le PEAP dans les négociations de protocole, mais de fournir deux sources pour le mettre en œuvre.
Ce mois-ci compte six CVE au total : trois RCE critiques (avec un score de 9,8) et trois CVE importantes (avec un score de 7,5) comptant un RCE, un DoS et une CVE de contournement d'information.
Numéro CVE |
Sévérité |
Score de base |
Effet |
|---|---|---|---|
Critique |
9,8 |
Exécution de code à distance |
|
Important |
7,5 |
||
Déni de service |
|||
Divulgation d'informations |
iSCSI Windows
iSCSI est un protocole utilisé pour se connecter aux terminaux de stockage SCSI. Sous Windows, les machines disposent du processus iSCSI Initiator et du service Microsoft iSCSI Initiator. Aucune exécution par défaut n'est possible : les deux processus doivent être exécutés et configurés manuellement. D'après nos observations, seulement 3 % des utilisateurs réseau disposent de machines exécutant Windows iSCSI.
Ce mois-ci compte une RCE critique et trois CVE DoS. Bien que cela ne soit pas explicitement mentionné, nous supposons que ces CVE sont liées au service Microsoft iSCSI Initiator. En outre, il est également important de noter que la RCE ne fonctionne que sur les machines 32 bits.
Q : Mes terminaux sont en train d'envoyer des cartes de Saint-Valentin électroniques décorées d'animaux mignons et je ne peux donc pas appliquer les correctifs ou redémarrer. Comment puis-je les protéger en attendant ?
Par chance, le service iSCSI ne s'exécute pas par défaut. Par conséquent, vous pouvez mapper les terminaux qui l'exécutent et créer des stratégies de segmentation en conséquence. Le service iSCSI ne génère pas énormément de connexions entrantes ; la microsegmentation est donc une solution idéale pour restreindre l'accès au service depuis l'extérieur du terminal. Vous avez ainsi donc plus de temps pour libérer vos terminaux afin d'appliquer les correctifs.
Pour mapper des terminaux avec iSCSI, il vous suffit de rechercher des connexions via les ports TCP 860 et 3260 (les ports iSCSI par défaut). Vous pouvez également rechercher le service lui-même : service Microsoft iSCSI Initiator.
Vous trouverez ci-dessous la requête osquery correspondante :
select pid from services where display_name = "Microsoft iSCSI Initiator Service" and status="RUNNING";
La FAQ relative à la vulnérabilité RCE précise également que ce type de vulnérabilité est généré par l'envoi d'une requête DHCP au service iSCSI. Si vous disposez d'une visibilité réseau, vous pouvez vérifier si vos terminaux iSCSI appliquent le protocole DHCP normalement (ports UDP 67,68). Si ce n'est pas le cas (ou s'il s'agit d'un champ d'application limité), vous pouvez également appliquer la segmentation à ce protocole. Cela vous permettrait ainsi de mettre en place des mesures d'atténuation supplémentaires avant l'application de correctifs.
Serveur Microsoft SQL
Ce mois-ci, le serveur SQL de Microsoft compte trois CVE RCE. Deux d'entre elles (avec un score CVSS de base de 8,8) concernent la fonction facultative SQL Data Quality Services (DQS). La troisième, quant à elle, a obtenu un score CVSS de 7,8. D'après nos observations, 60 % des réseaux sont équipés de serveurs MSSQL et 40 % de la fonction DQS.
Dans la mesure où les serveurs SQL contiennent généralement des informations sensibles, ces derniers doivent être segmentés et soumis à des restrictions de contrôle d'accès afin d'éviter tout risque de vol de données. Si vous n'avez pas mis en place de stratégies de ce type, le moment est venu de les ajouter. Mappez vos serveurs MSSQL existants (soit en recherchant le service MSSQL, soit en recherchant les connexions sur les ports 1433,1434). Une fois ces serveurs mappés, créez des stratégies de segmentation en fonction du trafic existant et des autres services nécessitant l'accès (p. ex., en permettant au service informatique d'accéder à l'ensemble des informations, au service financier d'accéder aux informations financières, etc.). Profitez-en également pour déterminer qui sont les acteurs malveillants qui accèdent à des bases de données auxquelles ils ne devraient pas accéder.
Ce mois-ci compte sept autres CVE OLE et ODBC liées à SQL. Nous les avons déjà abordées dans des avis précédents et nos recommandations à leur sujet n'ont pas changé (les CVE semblent également similaires). Pour en savoir plus, reportez-vous à la section Services précédemment couverts.
Pilote d'imprimante Microsoft PostScript
PostScript est un langage de programmation utilisé pour les descriptions de mise en page. De nombreuses imprimantes prennent en charge ce langage (notamment les imprimantes haut de gamme pour une utilisation professionnelle, pas domestique).
Le pilote d'imprimante PostScript est un composant système de Windows (pscript5.dll) capable de communiquer avec les imprimantes via PostScript. D'après nos observations, environ 30 % des réseaux comptent des terminaux dotés du pilote d'imprimante PostScript.
Dans la mesure où les attaquants sont connus pour utiliser des imprimantes pour les violations, pensez à prendre un moment entre deux cartes de Saint-Valentin pour corriger ou protéger vos serveurs d'impression.
Numéro CVE |
Vecteurs d'attaque |
Protection |
|---|---|---|
Un attaquant authentifié peut envoyer un fichier malveillant à une imprimante partagée. Cela génère une RCE sur le serveur de partage. |
Limitez le nombre d'imprimantes partagées ou effectuez une segmentation sur vos serveurs de partage d'imprimantes afin de limiter les accès non autorisés à ces dernières. De plus, comme l'attaquant doit être authentifié, les contrôles ou vérifications d'accès des utilisateurs peuvent également vous alerter sur un comportement anormal. |
|
Le vecteur d'attaque est répertorié comme local et il s'agit d'une vulnérabilité d'exécution de code arbitraire (ACE). C'est-à-dire que l'utilisateur ouvre un document qui provient d'Internet et qui entraîne l'exécution de code. Dans ce cas, il peut s'agir de l'impression d'un document conçu de manière malveillante. |
Pour atténuer ce type de risque, la mise en place de contrôles des fichiers téléchargés ou numérisés envoyés par e-mail est une solution idéale. De plus, cette CVE semble plus adaptée aux ordinateurs de bureau/terminaux des utilisateurs, dans la mesure où il est plus facile d'appliquer des correctifs à ces appareils plutôt qu'aux serveurs critiques. |
|
D'après la FAQ, un utilisateur doit accéder à une imprimante malveillante, ce qui déclenche la divulgation de la mémoire de tas. |
Vos imprimantes devant désormais être prises en compte, vous avez la possibilité d'ajouter des règles de segmentation afin d'empêcher l'accès aux « nouvelles » imprimantes et ainsi limiter ce risque. |
Microsoft Word
Microsoft Word compte une CVE RCE critique (score CVSS de 9,8) liée aux fichiers RTF. (Qui n'aime pas recevoir de belles roses rouges le jour de la Saint-Valentin ?)
Dans le cas de cette CVE, les fichiers RTF spécialement conçus peuvent déclencher l'exécution de commandes lorsqu'ils sont ouverts dans Word. Cela affecte également le volet Aperçu et SharePoint. Par chance, Microsoft dispose de deux solutions d'atténuation possibles :
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos publications précédentes.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Exécution de code à distance |
Accès au réseau avec un utilisateur authentifié disposant des autorisations de gestion de liste |
||
Exécution de code à distance |
La victime doit se connecter à un serveur SQL malveillant via OLEDB. |
||
Exécution de code à distance |
La victime doit se connecter à un serveur SQL malveillant via ODBC. |
||
Exécution de code à distance |
Réseau ; nécessite une authentification |
||
Réseau ; nécessite que l'attaquant soit authentifié en tant qu'administrateur |
|||
Usurpation |
Accès au réseau et authentification. L'utilisateur doit également cliquer sur le lien injecté. |
||
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées.