Le point de vue d'Akamai sur le Patch Tuesday de juin 2024
Ce mois-ci est calme, probablement parce que tout le monde est occupé à célébrer la Fierté (Pride). LUTTONS ENSEMBLE contre les grandes vulnérabilités de sécurité.
Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées.
49 vulnérabilités ont été corrigées sur le Patch Tuesday de juin 2024, avec une vulnérabilité critique dans Microsoft Message Queuing (MSMQ) et une vulnérabilité de score CVSS élevé (9,8) dans la machine virtuelle Science des données d'Azure (DSVM).
Dans cet article de blog, nous évaluerons l'importance des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Microsoft Message Queuing (MSMQ)
Le service MSMQ est une fonction facultative de Windows, utilisée pour transmettre des messages entre différentes applications. Bien que facultative, elle est utilisée en coulisses par de nombreuses applications d'entreprise pour Windows, comme Microsoft Exchange Server. D'après nos observations, le service est installé dans près de 74 % des environnements, généralement sur plus d'une machine.
Ce mois-ci, une vulnérabilité critique d'exécution réseau de code à distance (RCE), CVE-2024-30080, peut permettre aux attaquants d'exécuter du code à distance en envoyant un paquet spécialement conçu au serveur MSMQ victime.
Le service MSMQ étant accessible sur le port 1801, mais par un nombre peu élevé de clients (puisqu'il est principalement utilisé par l'application d'entreprise elle-même), nous vous recommandons de restreindre l'accès réseau arbitraire à ce port et à ce service. Il s'agit également de l'atténuation recommandée par Microsoft pour la vulnérabilité.
Essayez de segmenter le service à l'aide de règles de liste blanche, en autorisant uniquement l'accès aux machines qui en ont réellement besoin. Pour obtenir de l'aide sur la segmentation, vous pouvez vous référer à notre article de blog La (micro)segmentation d'un point de vue pratique (et plus particulièrement aux sections Cloisonnement des applications et Microsegmentation) .
Machine virtuelle Science des données d'Azure (DSVM)
La machine virtuelle Science des données d'Azure est un type d'image de machine virtuelle personnalisée, disponible sur la plateforme cloud Azure préinstallée avec divers outils et programmes nécessaires à la science des données. CVE-2024-37325 est une vulnérabilité d'escalade de privilèges (EoP), qui affecte les DSVM Ubuntu possédant des versions antérieures au 24.05.24.
Au lieu d'avoir un EoP typique qui permet à un attaquant d'obtenir une post-exploitation de session élevée, il semble que, dans ce cas, il y ait une fuite de données provenant de l'un des services installés sur ces machines virtuelles. Un attaquant non authentifié qui envoie une requête spécifique peut divulguer les informations d'identification des utilisateurs autorisés et les utiliser pour se connecter à ces machines.
Microsoft a fourni des instructions sur la façon de mettre à niveau les machines affectées. De plus, le problème (nous) semblant venir de l'un des services installés, nous vous recommandons de vérifier tous les ports sur lesquels ces machines écoutent, et d'essayer de les « cloisonner » pour empêcher tout accès extérieur.
Protocole Link Layer Topology Discovery Protocol (LLPD) de Windows et Pilote Wi-Fi Windows
Le protocole Link Layer Topology Discovery (LLPD) de Windows est un protocole propriétaire de Microsoft utilisé pour cartographier les terminaux afin de comprendre la topologie du réseau. Bien que le protocole prenne en charge plusieurs types de réseaux (filaires, sans fil et même CPL), les deux vulnérabilités corrigées ce mois-ci tournent autour de l'adaptateur réseau Wi-Fi. Nous avons donc fusionné notre discussion avec la vulnérabilité du pilote Wi-Fi.
Les vulnérabilités tournant toutes autour du Wi-Fi, l'attaquant doit se trouver à proximité (radio) étroite pour pouvoir les exploiter. Par conséquent, si vous suivez simplement la règle de l'« étranger danger », tout ira bien.
Blague à part, la mise en œuvre du protocole Wi-Fi ne relève pas du champ d'application de la plupart des pare-feu ou produits de segmentation, car ils traitent des données transférées sur les réseaux et non la configuration de ces réseaux eux-mêmes. Par conséquent, il n'y a pas vraiment d'atténuation pour cette vulnérabilité autre que l'application de correctifs (ou d'une cage de Faraday, mais vous n'aurez alors pas non plus de Wi-Fi normal…). Nous vous recommandons donc d'appliquer des correctifs dès que possible.
Service |
Numéro CVE |
Effet |
|---|---|---|
Protocole Link Layer Topology Discovery (LLDP) de Windows |
Exécution de code à distance |
|
Pilote Wi-Fi Windows |
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Divulgation d'informations |
Local |
||
Exécution de code à distance |
En local, un attaquant devrait convaincre la victime d'ouvrir un fichier malveillant |
||
Déni de service |
Réseau |
||
Exécution de code à distance |
Réseau |
||
Déni de service |
Local |
||
Divulgation d'informations |
Local |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.