Le point de vue d'Akamai sur le Patch Tuesday de mai 2023
Il n'y a pas très longtemps à Redmond, dans l'État de Washington, aux États-Unis…
Nous vivons actuellement une période de guerre informatique. Les administrateurs réseau travaillent sans relâche pour appliquer les recommandations du nouveau Patch Tuesday.
Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées.
Il semble que la Force soit avec nous ce mois-ci, car on ne compte que 40 CVE, beaucoup moins que lors des mois précédents. Sept des CVE corrigées étaient graves (dont l'une d'elles a été trouvée par Ben Barnea d'Akamai) et deux autres présentaient des scores CVSS de 9,8 dans PGM et NFS. Deux des CVE corrigées auraient également été utilisées sur le terrain, devenant ainsi des failles Zero Day.
Dans ce rapport, nous évaluerons l'importance réelle des vulnérabilités ainsi que le degré de banalisation des applications et des services affectés. Nous donnerons également un point de vue réaliste sur les bugs ayant été corrigés. Vous pouvez également voir une rapide présentation en temps réel le jour du patch sur notre compte Twitter. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Dans ce rapport, nous nous concentrons sur les domaines suivants où les bugs ont été corrigés :
Vulnérabilités exploitées « in the wild »
Windows Win32k — (CVE-2023-29336)
Cette vulnérabilité permet d'élever localement les privilèges dans Win32k, qui gère le sous-système de Windows dans le noyau Windows, principalement l'interface utilisateur graphique et les fenêtres. Elle a été détectée par les chercheurs en sécurité d'Avast et peut être utilisée pour élever les privilèges au niveau SYSTEM.
Démarrage sécurisé — (CVE-2023-24932)
Cette vulnérabilité permet aux attaquants de contourner le démarrage sécurisé, qui garantit que seul un logiciel de confiance est utilisé pour démarrer la machine. Elle a été exploitée par BlackLotus pour charger son bootkit. En soi, le correctif n'atténue pas le risque lié à la vulnérabilité.
Les administrateurs doivent également mettre à jour toutes les sauvegardes et tous les supports de démarrage de Windows, ainsi qu'appliquer des révocations et de nouvelles stratégies. Microsoft a publié un avis (KB5025885) pour fournir des conseils sur le déploiement des modifications.
Vulnérabilités découvertes par les chercheurs d'Akamai
Plateforme Windows MSHTML — (CVE-2023-29324)
La vulnérabilité est un contournement de la fonction MapUrlToZone . Cette dernière analyse de manière incorrecte un chemin spécifique, en le résolvant comme un chemin local alors qu'il s'agit d'un chemin distant.
MapUrlToZone a été utilisée pour résoudre une vulnérabilité critique dans Outlook, qui a été corrigée en mars. La nouvelle faille permet donc de continuer à exploiter cette vulnérabilité.
Nous avons publié un article détaillé concernant ce problème.
Windows SMB — (CVE-2023-24898)
Les serveurs exécutant SMB sur QUIC sont vulnérables à une attaque par déni de service. Cette vulnérabilité peut être exploitée facilement sans authentification de l'attaquant. Étant donné que SMB sur QUIC est une fonctionnalité relativement nouvelle, nous ne nous attendons pas à ce qu'un grand nombre de machines soient vulnérables.
Windows NFS (Network File System, système de fichiers en réseau)
NFS est à l'origine un protocole réseau développé par Sun Microsystems permettant d'accéder à des fichiers distants via un réseau. Ce système est implémenté dans Microsoft Windows et le rôle NFS peut être ajouté à un serveur pour le transformer en serveur NFS. Ce mois-ci, trois vulnérabilités ont été détectées (dont une grave) et peuvent entraîner l'exécution de code à distance.
Analyse du champ d'application
La fonction NFS doit être ajoutée à un serveur et à un client Windows avant d'être utilisée. Elle est incluse au rôle du serveur « Services de fichiers et de stockage » dans Windows Server.
Le système NFS utilise généralement les ports 111 (port EpMapper de Sun RPC, les premières versions de NFS sont mises en œuvre sur Sun RPC) et 2049. Après examen de différents centres de données, nous avons constaté que seulement 0,1 % pouvaient potentiellement être des serveurs NFSv4, et seulement la moitié environ fonctionnent sous Windows.
Recommandations générales
Habituellement, nous vous recommandons de vérifier s'il est possible de mettre à niveau votre serveur NFS pour utiliser NFS v4.1, car il s'agit de la version la plus sécurisée. Cependant, cette fois, la vulnérabilité de l'exécution de code à distance affecte uniquement NFS v4. Par conséquent nous ne pouvons pas recommander une mise à niveau.
Nous vous conseillons plutôt d'appliquer la segmentation autour des serveurs NFS. Vous devez vérifier si vous pouvez limiter (cloisonner) les clients NFS à un groupe plus restreint de serveurs/postes de travail, et également limiter le trafic sortant du serveur NFS. Comme il s'agit d'un serveur, il est peu probable qu'il établisse des connexions. La segmentation peut limiter l'impact d'une exploitation réussie.
Numéro CVE |
Effet |
Accès requis |
|---|---|---|
Exécution de code à distance |
Réseau |
|
Divulgation d'informations |
||
Déni de service |
Windows LDAP (Lightweight Directory Access Protocol, protocole léger d'accès aux annuaires)
Windows LDAP est un protocole open source conçu pour la connexion ainsi que l'interrogation de services d'annuaire et de bases de données. Le contrôleur de domaine d'Active Directory dispose d'une implémentation de serveur LDAP permettant aux programmes et serveurs utilisant LDAP d'utiliser le contrôleur de domaine existant sans nécessiter de serveur distinct.
Ce mois-ci, le service LDAP présente une vulnérabilité affectant les contrôleurs de domaine non corrigés. CVE-2023-28283 est une vulnérabilité d'exécution de code à distance qui peut être exploitée avant l'authentification.
Nous ne pouvons pas corriger notre contrôleur de domaine et risquer l'arrêt des services. Les vulnérabilités peuvent-elles être atténuées ailleurs ?
Pas vraiment. Comme le contrôleur de domaine est intégré à toutes les parties du domaine, il est pratiquement impossible de limiter l'accès à celui-ci sans compromettre les opérations normales du réseau. Le traçage uniforme de la CVE-2023-28283 peut être difficile, car elle ne nécessite pas d'authentification. Les équipes de réponse aux incidents doit être particulièrement attentives aux sessions LDAP de courte durée qui n'obtiennent pas de réponse du serveur. Cela peut indiquer une tentative d'exploitation.
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos publications précédentes.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
|
Divulgation d'informations |
Authentifié localement |
|
Exécution de code à distance |
Réseau |
||
Exécution de code à distance |
Authentifié avec les autorisations du propriétaire du site |
||
Usurpation |
Authentifié avec les autorisations de création de site ; peut entraîner une fuite du hachage NTLM |
||
Divulgation d'informations |
Authentifié |
||
Exécution de code à distance |
Réseau |
||
Déni de service |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Suivez également notre compte Twitter pour connaître les dernières informations en temps réel.
