Le point de vue d'Akamai sur le Patch Tuesday de juillet 2023
Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées.
Nous enregistrons cette fois-ci 130 CVE, dont 9 critiques. C'est presque le double du mois dernier. Quatre des CVE critiques (dans RRAS et MSMQ) ont un score CVSS élevé de 9,8. Quatre vulnérabilités ont également été signalées comme exploitées « in the wild ».
Dans ce rapport, nous évaluerons l'importance réelle des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés, dans le but de donner un point de vue réaliste sur les bogues ayant été corrigés. Vous pouvez également voir une rapide synthèse du patch sur notre compte Twitter. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Dans ce rapport, nous nous concentrons sur les domaines suivants où les bugs ont été corrigés :
Vulnérabilités exploitées « in the wild »
(CVE-2023-32046) — Plateforme Windows MSHTML (CVSS 7,8)
Cette vulnérabilité dans la plateforme MSHTML peut permettre à des pirates d'obtenir les privilèges de l'utilisateur victime de l'attaque. MSHTML est le moteur de navigateur de Microsoft, et les notes de patch mentionnent qu'un utilisateur doit ouvrir un fichier spécialement conçu, ou naviguer vers un site Web malveillant hébergeant ce fichier ; il s'agit donc probablement d'une sorte de ressource Web : un fichier HTML ou JavaScript. Quoi qu'il en soit, cette vulnérabilité nécessite que les utilisateurs réagissent à une forme d'ingénierie sociale et ouvrent un fichier malveillant. Il y a deux autres CVE corrigés dans MSHTML ce mois-ci (qui ne sont pas connus comme exploités « in the wild ») ; vous pouvez en apprendre plus à ce sujet plus loin dans cette note.
(CVE-2023-32049) — Windows SmartScreen (CVSS 8,8)
Il s'agit d'une vulnérabilité de contournement de sécurité, qui ignore l'avertissement de sécurité de SmartScreen lors de l'ouverture de fichiers téléchargés à partir d'Internet ou qui sont autrement dangereux. Ce n'est pas la première fois que des vulnérabilités de contournement de SmartScreen sont activement exploitées par des acteurs malveillants. Le groupe d'analyse des menaces de Google (Google TAG) a détecté et signalé que le ransomware Magniber avait utilisé une vulnérabilité similaire par le passé.
(CVE-2023-36874) — Service de rapport d'erreurs de Windows (CVSS 7,8)
Il s'agit d'une vulnérabilité d'élévation de privilèges qui exige que les pirates disposent déjà d'un accès local à la machine. Selon les notes, les pirates doivent être en mesure de créer des dossiers et des traces de performances sur la machine locale, ce qui nécessite des privilèges utilisateur restreints généralement pas disponibles. Ce CVE a également été signalé par Google TAG.
(CVE-2023-35311) — Microsoft Outlook (CVSS 8,8)
Il s'agit d'une autre vulnérabilité de contournement de sécurité, cette fois-ci dans Outlook. Cette vulnérabilité permet aux pirates de contourner l'avis de sécurité d'Outlook au moment du clic sur des liens hypertexte.
(CVE-2023-36884) — Office et Windows HTML (CVSS 8,3)
Le 11 juillet, Microsoft a publié un avis concernant une vulnérabilité d'exécution de code à distance activement exploitée « in the wild ». Cette vulnérabilité affecte plusieurs produits Microsoft et repose sur le fait d'attirer les victimes pour qu'elles ouvrent des documents malveillants.
La vulnérabilité est alors exploitée par l'acteur malveillant RomCom dans des campagnes de phishing, dont une ciblant les participants au récent sommet de l'OTAN en Lituanie. La vulnérabilité n'a pas de correctif pour le moment, mais plusieurs mesures d'atténuation existent.
Pilote réseau de la passerelle de couche 2 de Windows
Le pilote réseau de la passerelle de couche 2 fait partie de l'écosystème de conteneurs de Windows. Ce pilote est responsable du réseau L2bridge,qui permet aux conteneurs de se connecter directement au réseau physique de l'hôte. Ce pilote comporte deux vulnérabilités ce mois-ci : une vulnérabilité de divulgation d'informations de CVSS 6,5(CVE-2023-32037)et une vulnérabilité critique d'exécution de code à distance de CVSS 8,8(CVE-2023-35315). Selon les notes CVE, cette vulnérabilité critique permet une évacuation invité-vers-hôte. Puisque L2bridge permet aux conteneurs ou aux machines virtuelles d'écrire directement sur le matériel physique partagé avec le système d'exploitation hôte, une vulnérabilité dans le pilote permet au code malveillant de sauter la limite invité-hôte.
L'écosystème de conteneurs Windows est fourni sous la forme d'une fonctionnalité facultative appelée Containers. Celle-ci n'est pas prête à l'emploi et nécessite une installation ciblée. Nous avons constaté qu'environ 35 % des environnements surveillés étaient équipés de machines Windows avec la fonctionnalité optionnelle Containers activée.
Plateforme Windows MSHTML
MSHTML est un moteur de rendu de page Web pour le système d'exploitation Windows. Il expose une interface COM pour permettre aux programmes d'ajouter des capacités de rendu Web. Il est également utilisé par Internet Explorer et le mode Internet Explorer de Microsoft Edge. En plus de la vulnérabilité d'escalade de privilèges identifiée (voir la section« in-the-wild »), il existe deux autres vulnérabilités de contournement de sécurité : (CVE-2023-35336) et (CVE-2023-35308). D'après les notes sur ces deux vulnérabilités, il semble que MSHTML ne parvienne pas à valider la zone de sécurité correctement pour des URL spécifiques ; par exemple, il peut confondre une URL externe avec une URL locale. Nous ne sommes pas étrangers aux zones de sécurité, dans la mesure où Ben Barnea d'Akamai a trouvé une vulnérabilité similaire dans MapUrlToZone, la fonction souvent utilisée pour déterminer si une URL est un chemin Internet, un chemin local (vers la machine/le réseau), etc.
Service de routage et d'accès à distance de Windows (RRAS)
Le service de routage et d'accès distant (RRAS) est un service de Windows grâce auquel le système d'exploitation peut se comporter comme un routeur, permettant ainsi des connexions de site à site à l'aide de VPN ou d'accès à distance. Il y a trois vulnérabilités critiques dans le service ce mois-ci, toutes avec le score CVSS élevé de 9,8. Les notes de correctif ne nous disent pas grand-chose, sauf que des paquets spécialement conçus envoyés au serveur peuvent déclencher l'exécution de code à distance.
Le RRAS n'est pas disponible sur tous les serveurs Windows, il fait partie du rôle d'accès à distance et doit être spécifiquement installé. Dans nos observations, nous avons constaté qu'environ 15 % des environnements surveillés disposent de serveurs Windows avec le rôle d'accès à distance installé.
Runtime d'appel de procédure distante
Il y a eu 14 CVE d'exécution RPC différents corrigés ce mois-ci, la plupart d'entre eux pour des attaques par déni de service. Un seul CVE(CVE-2023-35300)peut obtenir l'exécution de code à distance, et les notes de correctifs ne nous disent pas grand-chose d'autre. En inversant le correctif, nous voyons que l'équipe Microsoft Offensive Research & Security Engineering (MORSE) semble avoir beaucoup travaillé sur le moteur de désérialisation NDR. Nous avons écrit en profondeur sur MS-RPC ; si vous souhaitez en savoir plus à ce sujet, vous pouvez donc trouver de nombreux liens d'articles et outils utiles dans notre boîte à outils RPC.
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur lesarticles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Contournement de la fonction de sécurité |
Réseau |
||
Usurpation |
|||
Exécution de code à distance |
|||
Déni de service |
Réseau |
||
Escalade de privilèges |
Local |
||
Contournement de la fonction de sécurité |
Réseau |
||
Contournement de la fonction de sécurité |
Réseau |
||
Exécution de code à distance |
Réseau |
||
Déni de service |
|||
Exécution de code à distance |
Réseau adjacent |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Suivez également notre compte Twitter pour connaître les dernières informations en temps réel.
