Le point de vue d'Akamai sur le Patch Tuesday de janvier 2023
Le Patch Tuesday de janvier 2023 de Microsoft a été publiéet nous avons, dans le cadre de la recherche sur la sécurité d'Akamai, entrepris d'examiner les vulnérabilités les plus intrigantes qui ont été corrigées. Microsoft semble commencer l'année sur les chapeaux de roue : le nombre de CVE corrigées a doublé par rapport au mois de décembre. L'équipe de recherche sur la sécurité d'Akamai a également fait des émules en ce début d'année : nous avons révélé deux des vulnérabilités corrigées ce mois-ci. Consultez une courte description de celles-ci ci-dessous.
Dans ce rapport, nous évaluerons l'importance réelle des vulnérabilités ainsi que le degré de banalisation des applications et des services affectés. Nous donnerons également un point de vue réaliste sur les bugs ayant été corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Dans ce rapport, en plus des vulnérabilités de sécurité révélées par Akamai, nous nous concentrons sur les domaines suivants où les bugs ont été corrigés :
Vulnérabilités de sécurité révélées par Akamai
Les deux vulnérabilités suivantes ont été révélées de manière responsable à Microsoft et corrigées dans le correctif de ce mois-ci. Nous fournirons plus de détails sur ces vulnérabilités dans quelque temps afin que chacun puisse corriger ses systèmes. En attendant, voici une brève description.
EOP distant du protocole SMB Service Witness
CVE-2023-21549, score CVSS : 8,8
Il s'agit d'une autre vulnérabilité détectée par notre boîte à outils RPC. Le SMB Service Witness Protocol (protocole du témoin de service du bloc de messages serveur) est utilisé dans le cadre des serveurs de fichiers en cluster SMB.
EOP local du LSM
CVE-2023-21771, score CVSS : 7,0
Il s'agit d'une autre vulnérabilité présente dans l'une des interfaces RPC LSM. La vulnérabilité ne peut être déclenchée que localement et l'exploitation nécessite de gagner face à une concurrence critique facile à réaliser.
La fonction vulnérable n'existe pas sur toutes les versions de Windows, seules les versions suivantes sont vulnérables :
Windows Server 2022
Windows 10 versions 21H2 et 22H2
Windows 11 versions 21H2 et 22H2
L2TP (Layer 2 Tunneling Protocol) de Windows
Layer 2 Tunneling Protocol (L2TP) est un protocole de tunnelisation de couche 2 utilisé pour prendre en charge les VPN. Sous Windows, il fait partie du serveur d'accès à distance (RAS), tout comme les protocoles SSTP et PPP (qui ont été abordés au cours des mois précédents). L'accès à distance est un rôle du service de Windows Server qui permet aux clients distants de se connecter au réseau local, comme un VPN. Le rôle de serveur doit être ajouté activement.
Ce service présente cinq vulnérabilités critiques ce mois-ci, toutes ayant un score CVSS de 8,1 et permettant l'exécution de code à distance.
Quatre des vulnérabilités (CVE-2023-21546, CVE-2023-21679, CVE-2023-21555 et CVE-2023-21556) nécessitent que le pirate gagne face à une concurrence critique pour les déclencher. L'autre CVE, CVE-2023-21543, ne nécessite pas de concurrence critique selon le Centre de réponse aux problèmes de sécurité Microsoft. Par contre, le pirate doit effectuer des étapes supplémentaires avant l'exploitation.
Notre serveur VPN ne doit s'arrêter sous aucun prétexte. Pouvons-nous effectuer un type d'atténuation autre que l'application de correctifs ?
Comme L2TP est utilisé pour prendre en charge les serveurs VPN, il est pratiquement impossible de limiter l'accès à Internet pour ce protocole. Par conséquent, peu d'options d'atténuation sont disponibles en dehors de l'application de correctifs. Si vous savez que vous n'avez pas de collaborateurs dans certaines parties du globe (par exemple, tous vos employés sont aux États-Unis), vous pouvez restreindre l'accès à partir de certaines géolocalisations grâce à la technique geo-ip, mais cette tâche est également très difficile à contenir.
Autrement, étant donné que toutes les CVE nécessitent des concurrences critiques ou des étapes supplémentaires, il est raisonnable de croire que leur exploitation entraînera une forte hausse de l'activité du réseau. La surveillance de l'activité du réseau peut générer des alertes sur les tentatives d'exploitation potentielles.
Lightweight Directory Access Protocol de Windows
LDAP (Lightweight Directory Access Protocol) de Windows est un protocole open source conçu pour la connexion ainsi que l'interrogation de services d'annuaire et de bases de données. Le contrôleur de domaine d'Active Directory dispose d'une implémentation de serveur LDAP permettant aux programmes et serveurs existants qui utilisent LDAP d'utiliser l'Active Directory existant sans nécessiter de serveur distinct.
Ce mois-ci, le service LDAP présente deux vulnérabilités affectant les contrôleurs de domaine non corrigés. CVE-2023-21557 est une vulnérabilité de déni de service (DoS) qui peut être effectuée avant l'authentification. L'avis du Centre de réponse aux problèmes de sécurité Microsoft indique également que l'exploitation réussie de la vulnérabilité pourrait en outre entraîner la divulgation d'informations, mais ne spécifie pas quelles données seraient divulguées. CVE-2023-21676 est une vulnérabilité d'exécution de code à distance, bien qu'elle nécessite une authentification préalable.
Nous ne pouvons pas corriger notre contrôleur de domaine et risquer un temps d'arrêt. Les vulnérabilités peuvent-elles être atténuées ailleurs ?
Pas vraiment. Comme le contrôleur de domaine est intégré à toutes les parties du domaine, il est pratiquement impossible de limiter l'accès à celui-ci sans compromettre les opérations normales du réseau. Puisque CVE-2023-21676 nécessite un utilisateur authentifié, elle peut aider les équipes de réponses aux incidents à le suivre (mais ne contribue pas vraiment à la prévention).
Services cryptographiques de Microsoft
Le nom Services cryptographiques est un peu énigmatique, car il peut faire référence à de nombreuses parties du système d'exploitation. (Il ne devrait faire référence qu'à CryptSvc, le service cryptographique littéral, mais son fichier n'a pas été corrigé.) Une seule CVE indique quelle partie du système est affectée : CVE-2023-21561 avec CSRSS.
Il y a six CVE ce mois-ci, trois pour l'escalade locale de privilèges et trois pour la divulgation locale d'informations. Ces vulnérabilités affectent toutes les machines Windows, qu'il s'agisse de serveurs ou de postes de travail. Il est donc primordial de corriger les problèmes.
Numéro CVE |
Effet |
|---|---|
| CVE-2023-21561 | Escalade de privilèges d'AppContainer jusqu'au SYSTÈME |
| CVE-2023-21730 | Escalade de privilèges jusqu'au SYSTÈME |
| CVE-2023-21551 | |
| CVE-2023-21559 | Divulgation de secrets cryptographiques de Windows |
| CVE-2023-21540 | |
| CVE-2023-21550 |
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos publications précédentes.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Contournement d'authentification |
Réseau |
||
Exécution de code à distance |
Authentifié au minimum en tant que membre du site |
||
Authentifié avec le privilège de création de page |
|||
Exécution de code à distance |
Réseau |
||
Divulgation d'informations |
Réseau |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées.
