Le point de vue d'Akamai sur le Patch Tuesday de mai 2024
Nous n'avons qu'une journée Star Wars par an, mais 12 Patch Tuesday, ce qui est un ratio terrible si vous voulez mon avis…
Quoi qu'il en soit, la mise à jour de ce mois de mai contient 59 CVE, dont une seule est critique (dans Microsoft SharePoint Server), mais elle ccomprend également des correctifs pour deux vulnérabilités trouvées « in the wild ».
Dans cet article de blog, nous évaluerons l'importance des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Vulnérabilités trouvées « in the wild »
CVE-2024-30040 – Plateforme Windows MSHTML
MSHTML est un moteur de rendu de page Web pour le système d'exploitation Windows. Il expose une interface Component Object Model (COM) pour permettre aux programmes d'ajouter des capacités de rendu Web. Il est utilisé par Internet Explorer, le mode Internet Explorer de Microsoft Edge, Microsoft Outlook et divers autres programmes.
De nombreuses vulnérabilités ont été découvertes dans la plateforme MSHTML (dont certaines par les chercheurs d'Akamai). Il s'agit d'une cible d'exploitation de choix pour les attaquants en raison de sa capacité à contourner les mécanismes de défense et du fait qu'il s'agit d'une fonctionnalité intégrée à Windows.
Cette fois, selon le Centre de réponse aux problèmes de sécurité Microsoft (MSRC), la vulnérabilité contourne les facteurs atténuants OLE dans Microsoft 365 et Microsoft Office. La vulnérabilité exige que les attaquants convainquent les utilisateurs de télécharger et d'ouvrir un fichier malveillant via une forme d'ingénierie sociale. Une fois que le fichier malveillant s'ouvre et que la vulnérabilité se déclenche, elle permet l'exécution de code dans le contexte de l'utilisateur victime.
CVE-2024-30051 – Bibliothèque principale du DWM Windows
Contrairement à la vulnérabilité précédente, il s'agit d'une vulnérabilité par élévation de privilèges dans le gestionnaire de fenêtres du bureau de Windows (DWM). Le DWM est responsable de la gestion des fenêtres visibles à l'écran : il fait partie de Windows depuis Windows Vista et est implémenté dans le processus dwm.exe.
La vulnérabilité a été détectée par Kasperskyet a été considérée comme exploitée par la campagne du cheval de Troie QakBot.
Microsoft SharePoint est un système de stockage et de gestion de documents basé sur le Web, intégré à d'autres produits Microsoft Office. Il y a deux CVE ce mois-ci, dont l'une est une vulnérabilité critique d'exécution de code à distance (RCE) avec un score CVSS de 8,8 (CVE-2024-30044) et l'autre est une vulnérabilité de divulgation d'informations avec un score CVSS de 6,5 (CVE-2024-30043).
CVE-2024-30044 exige que les attaquants s'authentifient sur le serveur SharePoint avec un compte ayant au moins les autorisations SiteOwner. Après l'authentification, ils doivent télécharger un fichier élaboré et y accéder à l'aide d'une requête API. Cela déclencherait une désérialisation des paramètres du fichier et provoquerait une injection de code dans le processus du serveur SharePoint. Selon le MSRC, cette vulnérabilité est « plus susceptible d'être exploitée », ce qui signifie que la vulnérabilité n'est pas complexe à déclencher malgré les nombreuses étapes impliquées.
CVE-2024-30043 nécessite également une authentification et permet aux attaquants d'obtenir le contenu des fichiers sur le serveur. En fonction des privilèges d'utilisateur que possèdent les attaquants, l'étendue des fichiers auxquels ils peuvent accéder augmente.
D'après nos observations, nous avons constaté qu'environ 30 % des environnements avaient au moins une machine sur laquelle était installé un serveur SharePoint.
Les serveurs SharePoint étant généralement destinés au partage de documents, il peut être difficile de segmenter ou de limiter l'accès des utilisateurs à ces serveurs sans nuire aux opérations normales. Par conséquent, nous vous recommandons de corriger votre serveur dès que possible.
Toutefois, étant donné que les deux CVE nécessitent une authentification de l'utilisateur, il est possible de limiter certains risques en renforçant l'accès des utilisateurs ou en augmentant la sensibilité aux alertes en cas d'activité ou de connexion utilisateur suspecte.
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Exécution de code à distance |
Réseau |
||
Exécution de code à distance |
Réseau, l'utilisateur doit se connecter à un serveur SQL malveillant |
||
Déni de service |
Réseau |
||
Divulgation d'informations |
Local |
||
Usurpation |
Réseau, authentification requise |
||
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.