Le point de vue d'Akamai sur le Patch Tuesday de février 2024
Certes, un bouquet de roses est un joli cadeau, mais dans notre métier, un correctif est plus opportun. Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées. Sur les 73 CVE de ce mois-ci, cinq sont critiques et deux autres étaient exploitées « in the wild » : CVE-2024-21351 dans Windows SmartScreen et CVE-2024-21412 dans les fichiers de raccourcis Internet. Ces deux vulnérabilités sont des contournements de sécurité qui permettent aux attaquants d'outrepasser les contrôles de sécurité qui alerteraient les utilisateurs de l'accès à des fichiers potentiellement malveillants.
Dans cet article de blog, nous évaluerons l'importance réelle des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Vulnérabilités exploitées « in the wild »
CVE-2024-21351 — Windows SmartScreen (CVSS 7,6)
Il s'agit d'une vulnérabilité de contournement de sécurité qui ignore l'avertissement de sécurité SmartScreen lors de l'ouverture de fichiers potentiellement malveillants téléchargés depuis le Web. Dans ce scénario, Windows SmartScreen est responsable de l'affichage d'un écran d'avertissement. Cette vulnérabilité nécessite que l'attaquant crée un fichier d'une manière spécifique qui entraînera l'absence de vérification du fichier de la part de Windows SmartScreen et permettra donc de contourner l'écran d'avertissement. Selon les notes de CVE, il est également possible d'injecter du code dans le processus de SmartScreen en passant par cette vulnérabilité.
Ce n'est pas la première fois que des vulnérabilités de contournement de SmartScreen sont activement exploitées par des acteurs malveillants. Le correctif de novembre 2023 incluait également un correctif pour une vulnérabilité de contournement signalée comme étant activement exploitée.
CVE-2024-21412 — Fichiers de raccourcis Internet (CVSS 8.1)
Les fichiers de raccourcis Internet sont des fichiers .url indiquant des adresses Internet. Cette vulnérabilité contourne certains contrôles de sécurité qui doivent s'activer lorsque vous double-cliquez sur ces fichiers, comme la vulnérabilité SmartScreen ci-dessus (en fait, la CVE dans SmartScreen de novembre 2023 concernait spécifiquement les fichiers de raccourcis Internet, et cette CVE est un contournement de ce correctif). Les fichiers de raccourcis doivent être spécialement conçus pour déclencher la vulnérabilité. La victime doit cliquer sur ces fichiers pour que la vulnérabilité s'active. Elle a été utilisée dans le cadre d'une campagne de Water Hydra. Vous trouverez plus de détails à ce sujet dans l'article de Peter Girnus sur la plateforme de X, anciennement connue sous le nom de Twitter, ou dans le blog de Trend Micro.
Windows Exchange Server et Microsoft Outlook
Bien qu'Exchange Server et Outlook soient deux produits distincts, ils sont si étroitement liés (le premier est le serveur de messagerie et le second est le client de messagerie) que nous avons décidé de les aborder ensemble. Trois CVE ont été corrigées dans Outlook, dont l'une était critique. En outre, une autre CVE critique a été corrigée dans Exchange Server.
CVE-2024-21413 est une vulnérabilité critique d'exécution de code à distance dans Outlook, qui (selon les notes de Microsoft) permet aux attaquants de contourner Office Protected View et d'ouvrir les documents en mode édition au lieu de lecture seule. Cela pourrait conduire au contournement des mécanismes de sécurité et à la fuite des informations d'identification, ce qui pourrait ensuite être utilisé pour une exécution de code à distance. Cette vulnérabilité a été décelée par Haifei Li de Check Point Research. Vous pouvez en apprendre davantage sur cette vulnérabilité dans cet article de blog DLL Proxying d'itm4n.
CVE-2024-21410 est une autre vulnérabilité critique d'exécution de code à distance, mais dans Windows Exchange Server. Cette vulnérabilité nécessite que les attaquants parviennent à une sorte de canal machine-in-the-middle pour relayer les informations d'identification au serveur Exchange et s'authentifier en tant que victime. Les attaquants pourraient alors effectuer des actions privilégiées au nom de la victime. Microsoft recommande d'activer la protection étendue pour l'authentification afin d'atténuer le risque, mais le correctif est également conseillé. Dans nos observations, nous avons constaté que 27 % des réseaux d'entreprise disposaient d'un serveur Exchange sur site.
Numéro CVE |
Composant |
Effet |
Accès requis |
|---|---|---|---|
Windows Exchange Server |
Escalade de privilèges |
Réseau |
|
Microsoft Outlook |
Exécution de code à distance |
||
Escalade de privilèges |
Local |
Windows OLE et ODBC
Windows OLE et ODBC sont deux spécifications API conçues pour éliminer la connexion entre un utilisateur de données et une source de données. Alors que l'API ODBC est plus ancienne et procédurale, l'API OLE est plus récente et mise en place à l'aide du modèle d'objet de composant (COM, Component Object Model). Elle prend également en charge les bases de données non relationnelles.
On compte 18 CVE corrigées ce mois-ci, dont 16 liées à OLE et deux à ODBC. Toutes les CVE sont destinées à l'exécution de code à distance qui cible un client de la base de données. Les attaquants doivent inciter les victimes à se connecter à une base de données malveillante sous leur contrôle, à partir de laquelle ils peuvent envoyer des paquets spécialement conçus pour déclencher une exécution de code à distance sur le client de la victime. Presque toutes les CVE atteignent un score CVSS de 8,8.
Atténuation possible
Les répercussions de toutes les vulnérabilités peuvent être atténuées en utilisant la segmentation. Créer une liste de serveurs SQL connus autorisés dans l'organisation garantit qu'aucune connexion n'est établie avec des serveurs externes inconnus, empêchant ainsi la chaîne d'attaque décrite ci-dessus.
Numéro CVE |
Composant |
|---|---|
Pilote WDAC ODBC Microsoft |
|
Pilote ODBC Microsoft |
|
Windows OLE |
|
Fournisseur Microsoft WDAC OLE DB pour SQL Server |
|
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Escalade de privilèges |
Local |
||
Exécution de code arbitraire |
|||
Exécution de code à distance |
Réseau |
||
Partage de connexion Internet (« Internet Connection Sharing », ICS) |
Déni de service |
Réseau |
|
Windows LDAP (Lightweight Directory Access Protocol, protocole léger d'accès aux annuaires) |
Déni de service |
Réseau |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.
