Le point de vue d'Akamai sur le Patch Tuesday de janvier 2024
Nouvelle année, nouvelles CVE. Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées. Sur les 48 CVE de ce mois-ci, seules 2 sont critiques, mais nous avons également un bonus pour la nouvelle année : 2 des CVE corrigées ce mois-ci ont été découvertes par des chercheurs Akamai Ben Barnea et Tomer Peled.
Dans cet article de blog, nous évaluerons l'importance réelle des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Plateformes Windows HTML
Bien qu'il s'agisse de Plateformes Windows HTML ce mois-ci, nous pensons que ce nom fait également référence à Windows MSHTML comme le mois dernier. MSHTML est un moteur de rendu de page Web pour le système d'exploitation Windows. Il expose une interface Component Object Model (COM) pour permettre aux programmes d'ajouter des capacités de rendu Web. Il est utilisé par Internet Explorer, le mode Internet Explorer de Microsoft Edge, Microsoft Outlook et divers autres programmes.
Chercheur Akamai Ben Barnea a découvert CVE-2024-20652, une vulnérabilité de contournement des fonctions de sécurité avec un score CVSS de 7,5. La vulnérabilité elle-même se trouve dans MapUrlToZone, une fonction généralement appelée pour déterminer si une URL pointe vers une ressource sur la machine, à l'intérieur du réseau ou sur Internet.
Cette vulnérabilité est similaire aux vulnérabilités précédemment divulguées. Cela conduit MapUrlToZone à conclure qu'une URL réside dans l'intranet, alors que l'URL pointe en fait vers une ressource Internet. Ceci peut être utilisé de manière abusive pour contourner le correctif CVE-2023-23397 d'Outlook, et finalement conduire à la fuite des informations d'identification NTLM vers une destination distante (contrôlée par l'attaquant).
Thèmes Windows
Thèmes Microsoft est une fonctionnalité Windows destinée à modifier les paramètres d'affichage des icônes, des polices et de bien d'autres aspects. Elle fait partie intégrante de Windows.
Chercheur Akamai Tomer Peled a découvert CVE-2024-21320, qui est catégorisée comme une vulnérabilité d'usurpation avec un score CVSS de 6,5. Pour être plus précis, il s'agit d'une vulnérabilité de coercition à l'authentification, car elle conduit la victime à initier une authentification NTLM.
Pour déclencher cette vulnérabilité, il suffit à un utilisateur de visualiser un fichier de thème malveillant à l'aide d'Explorer, sans aucune autre interaction (il n'est même pas nécessaire d'ouvrir explicitement le fichier de thème). Nous partagerons plus de détails sur cette vulnérabilité dans un prochain article de blog, alors restez à l'écoute.
Une autre CVE (CVE-2024-20691) a été corrigée dans Thèmes Windows ce mois-ci — une vulnérabilité de divulgation d'informations qui peut divulguer la mémoire de tas à des attaquants, à condition qu'ils gagnent face à une concurrence critique.
Windows Hyper-V
Windows Hyper-V est l'hyperviseur natif de Windows. Il permet l'hébergement de machines virtuelles (invités) sur une seule machine hôte. La virtualisation est très courante dans les réseaux d'entreprise, car elle permet de réaliser des économies sur les coûts matériels.
Dans le cadre de nos observations, 90 % des environnements disposaient d'au moins une machine avec Hyper-V activé (hôtes), et une moyenne de 25 % des machines Windows étaient équipées d'Hyper-V.
Deux vulnérabilités ont été corrigées dans Hyper-V ce mois-ci, l'une d'elles étant critique.
- CVE-2024-20699 est une vulnérabilité de déni de service (DoS) que les attaquants peuvent déclencher sur les machines invitées vulnérables. Elle exige que les attaquants aient un accès local à l'invité vulnérable.
- CVE-2024-20700 est une vulnérabilité critique d'exécution de code à distance qui permet à des attaquants d'exécuter du code sur des machines Hyper-V vulnérables.
Atténuation
Puisque CVE-2024-20700 nécessite un accès réseau, il devrait être possible d'utiliser la segmentation du réseau pour limiter l'étendue de l'accès aux hôtes Hyper-V, réduisant ainsi le risque d'attaque. Il ne s'agit pas d'une alternative à l'application de correctifs, mais plutôt d'une solution à court terme. Pour détecter les hôtes Hyper-V, vous pouvez utiliser la requête OSQuery suivante :
Windows Kerberos
Kerberos est la base de l'architecture de domaine Windows. Il s'agit du mécanisme d'authentification par défaut, remplaçant NTLM. Une seule vulnérabilité critique dans Kerberos a été corrigée ce mois-ci : CVE-2024-20674.
D'après la description de la vulnérabilité faite par Microsoft, celle-ci permet l'usurpation d'identité et exige que l'attaquant établisse un canal machine-in-the-middle (MITM) avec un client victime. Cela permettrait à l'attaquant de se faire passer pour un serveur d'authentification.
Chaîne d'attaque
Selon nous, une chaîne d'exploitation réussie devrait ressembler à ce qui suit :
- L'attaquant établit une position MITM sur une victime. Cela peut se faire d'une multitude de façons (ARP, LLMNR ou empoisonnement DNS). (Le chercheur Akamai Ori David a récemment découvert un nouveau vecteur pour réaliser un MITM via l'usurpation DHCP DNS).
- L'attaquant envoie un message Kerberos malveillant à la victime, ce qui lui fait croire que la machine de l'attaquant est le serveur d'authentification Kerberos.
- Une fois que le client se connecte à la machine de l'attaquant, la vulnérabilité permet à l'attaquant d'usurper l'identité du client et d'effectuer des actions à l'intérieur du domaine à son nom.
Atténuation
Kerberos faisant partie intégrante du domaine Windows, il est essentiel de corriger vos systèmes dès que possible, d'autant plus que la vulnérabilité est qualifiée d'« exploitation plus probable ». Étant donné que la vulnérabilité affecte les clients Kerberos, il ne suffit probablement pas de corriger uniquement les contrôleurs de domaine — toutes les machines Windows du domaine doivent être corrigées.
L'application de correctifs à un si grand nombre de systèmes peut prendre un certain temps, en particulier dans les grands domaines. En attendant, nous avons deux suggestions pour détecter d'éventuels artefacts d'exploitation de la vulnérabilité.
- Vous pouvez analyser le journal des événements Windows pour rechercher des connexions anormales sur le réseau (ID d'événement 4624 ou 4625). Si vous voyez un événement de connexion d'utilisateur provenant d'une machine qui ne devrait pas avoir cet utilisateur, ou avec un type de connexion inhabituel (comme réseau ou lot), vous devriez vous inquiéter.
- Étant donné que l'authentification Kerberos est gérée par l'interface RPC pour netlogon, vous pouvez utiliser le journal ETW RPC pour rechercher les clients qui se connectent avec netlogon à une machine qui n'est pas le contrôleur de domaine. Notre outil open source RPC Visibility peut vous aider dans cette tâche.
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Exécution de code à distance |
Local ; demande à l'utilisateur d'ouvrir un fichier construit de manière malveillante |
||
Exécution de code à distance |
Réseau |
||
Exécution de code à distance |
Réseau |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.
