Le point de vue d'Akamai sur le Patch Tuesday de novembre
Le Patch Tuesday de novembre 2022 de Microsoft a été publiéet le groupe Security Intelligence d'Akamai a entrepris d'examiner les vulnérabilités les plus intrigantes qui ont été corrigées. Dans ce rapport, nous tentons d'évaluer l'importance réelle des vulnérabilités ainsi que le degré de banalisation des applications et des services affectés. Nous donnons également notre propre point de vue sur les bugs ayant été corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Dans ce rapport, nous nous concentrons sur les domaines suivants où les bugs ont été corrigés :
Pour chaque service affecté mentionné dans ce rapport, nous tentons de fournir des recommandations de surveillance et d'atténuation pour les cas où l'application de correctifs n'est pas possible. Bien sûr, aucune mesure d'atténuation n'est aussi efficace que l'application de correctifs. Par conséquent, nous vous recommandons d'appliquer les correctifs à vos systèmes dès que possible et de les maintenir à jour.
Avertissement : certains utilisateurs ont signalé des problèmes de connectivité aux contrôleurs de domaine après l'application du correctif de novembre. Nous pensons que ces problèmes peuvent être liés au correctif de la vulnérabilité CVE-2022-37966, qui modifie les valeurs de cryptage par défaut (voir ci-dessous pour en savoir plus). Il est également possible qu'ils soient liés à d'autres correctifs dans Kerberos et Netlogon.
Langages de script Windows
Les langages de script Windows peuvent faire référence à plusieurs implémentations de langages de script dans Windows, tels que VBScript, JavaScript ou d'autres. Dans cette version, Microsoft a apporté des correctifs à deux moteurs de script, JScript et Chakra.
JScript est l'implémentation de Microsoft de ECMAScript, la même norme que celle qui se trouve derrière JavaScript et qui est utilisée par Internet Explorer. Chakra est également un moteur JavaScript, dérivé de JScript et utilisé par Microsoft Edge Legacy (les nouvelles versions d'Edge sont basées sur Chromium). Les deux sont implémentés en tant que DLL, appelés simplement jscript9.dll et chakra.dll.
Cette mise à jour corrige deux vulnérabilités critiques d'exécution de code à distance qui affectent ces moteurs de script.
La première, CVE-2022-41128, affecte le langage de script JScript9 avec un score CVSS de 8,8 et est étiquetée comme critique. Non seulement elle présente une complexité d'attaque faible, mais elle a également été exploitée dans la vie réelle. Pour exploiter cette vulnérabilité, un attaquant doit héberger un partage de serveur ou un site Web spécialement conçu. Ensuite, l'attaquant doit convaincre un utilisateur possédant une version touchée de Windows d'accéder à ce serveur spécialement conçu.
La deuxième vulnérabilité, CVE-2022-41118, concerne à la fois JScript9 et Chakra avec un score CVSS de 7,5, et est également étiquetée comme critique. Celle-ci présente en revanche une complexité d'attaque élevée, car elle nécessite que le pirate remporte une condition de concurrence. Le flux d'attaque et l'interaction avec l'utilisateur restent similaires à la vulnérabilité CVE-2022-41128.
Recommandations générales
Les moteurs JScript et Chakra ont été développés pour Internet Explorer et Edge Legacy. Il existe des navigateurs Web plus récents (ainsi qu'une version Edge basée sur Chromium), que nous vous recommandons d'utiliser à la place. Malgré tout, il est important de noter que ces moteurs peuvent également être utilisés par d'autres logiciels, par conséquent un correctif constitue le seul moyen de protéger votre machine contre ces vulnérabilités.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
Exécution de code à distance |
Réseau |
|
Exécution de code à distance |
Réseau |
Windows Kerberos
Kerberos est la base de l'architecture de domaine Windows. Il s'agit du mécanisme d'authentification par défaut, remplaçant NTLM. Deux vulnérabilités ont été corrigées cette fois, pouvant toutes deux être utilisées pour l'élévation des privilèges et ayant respectivement un score CVSS de 8,1 et 7,2.
En plus de l'application des correctifs, les administrateurs système doivent lire les deux articles de la base de connaissances (KB5020805 KB5021131) qui ont été publiés par Microsoft concernant des modifications spécifiques requises dans le registre.
L'impact
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges d'administrateur.
Où se trouve la vulnérabilité ?
CVE-2022-37966
Avant ce correctif, le cryptage par défaut dans la négociation Kerberos était le cryptage RC4-MD5. Le cryptage RC4 est un cryptage de chiffrement de flux, ce qui signifie que le texte chiffré est créé en appliquant la fonction OU exclusif au texte brut avec un flux chiffré. Ce cryptage est considéré comme faible parce qu'il peut être facilement déchiffré hors ligne avec des outils comme John the Ripper. La vulnérabilité réside dans cette configuration par défaut.
Lorsqu'un attaquant négocie avec Active Directory, il peut envoyer une requête spécialement conçue qui utilisera l'authentification par défaut de Kerberos. En cas de réussite de la requête, le pirate peut utiliser la clé de session Kerberos et la craquer pour obtenir une élévation de privilèges.
La configuration par défaut pour la négociation Kerberos sera corrigée avec la clé de registre ms-DS-SupportedEncryptionType, qui sera définie par défaut sur Cryptage AES (0x27).
CVE-2022-37967
Cette vulnérabilité réside dans l'extension PAC (Privilege Attribute Certificate) de Kerberos. Pour faire simple, l'extension PAC est un « conteneur » d'informations pour divers champs : ID utilisateur, ID de groupe, ID de domaine de compte, et plus. Les informations PAC sont ajoutées aux tickets Kerberos par un contrôleur de domaine.
Après lecture de l'article KB publié par Microsoft pour cette CVE, nous pensons que cette vulnérabilité peut être exploitée pour contourner la validation de la signature PAC envoyée au serveur. Cela signifie que les structures PAC envoyées avec des signatures non valides ou manquantes pourraient contourner le processus de validation et entraîner une élévation de privilèges.
Ce correctif est la première étape vers des publications progressives pour CVE-2022-37067. Il inclut un correctif pour la vulnérabilité CVE-2022-37967, mais qui est désactivé par défaut. Les prochaines publications sont prévues du 13 décembre 2022 au 10 octobre 2023, et permettront respectivement un audit et une application partielle.
Pour la vulnérabilité CVE-2022-37967, le correctif ajoute la valeur 2 à la clé de registre KrbtdtFullPacSignature. Cette valeur permet de vérifier les informations PAC dans le système et les administrateurs système peuvent l'utiliser pour suivre les anomalies.
La clé KrbtgtFullPacSignature disposera d'une option pour appliquer ou refuser les signatures PAC incorrectes ou manquantes afin de gérer cette vulnérabilité.
Portée
Kerberos fait partie de chaque architecture de domaine Windows.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
Escalade de privilèges |
Réseau |
|
Escalade de privilèges |
Réseau |
Netlogon RPC
Le dossier Netlogon Remote Protocoldésigne le protocole utilisé pour l'authentification des utilisateurs et des machines dans les environnements de domaine Windows. Il est également utilisé pour la synchronisation entre les contrôleurs de domaine. Par conséquent, il est relativement important dans les réseaux de domaine Windows, c'est pourquoi la vulnérabilité CVE-2022-38023 peut avoir un impact sur la plupart des environnements.
L'impact
Un attaquant pourrait obtenir des privilèges d'administration dans le domaine en l'exploitant.
Où se trouve la vulnérabilité ?
D'après l'article KB publié par Microsoft pour cette CVE, il semblerait que celle-ci s'applique en cas de connexion de Netlogon avec RPC Signing, mais pas avec RPC Sealing. Avec RPC Signing, les messages RPC sont signés uniquement par l'expéditeur et le destinataire compare le contenu du message à la signature pour en vérifier l'intégrité. RPC Sealing, en revanche, chiffre l'ensemble du message.
D'après les journaux d'événements pertinents mentionnés (ID d'événements 5838–5841 dans le journal d'événements système), nous pensons que la vulnérabilité peut être liée à un traitement ou une vérification incorrects de la signature, en particulier avec le cryptage RC4-HMAC.
Recommandations générales
Ce correctif est la première étape vers des publications progressives. Il corrige la vulnérabilité CVE et introduit également une nouvelle clé de registre RequireSeal, qui sera utilisée pour appliquer RPC Sealing. Dans le cadre de cette première étape, la clé de registre est définie par défaut en mode de compatibilité, mais peut être désactivée par un administrateur de domaine. Le mode de compatibilité permet aux contrôleurs de domaine d'autoriser des connexions vulnérables à partir de clients tiers, tout en appliquant RPC Sealing sur les machines Windows et les contrôleurs de domaine.
Les phases suivantes, prévues pour le 11 avril et le 11 juillet 2023, supprimeront l'option de désactivation de l'application de RPC Sealing, puis du mode de compatibilité, respectivement.
Nous recommandons aux administrateurs de domaine de ne pas désactiver l'application de RPC Sealing après l'application du correctif, en s'efforçant plutôt de mettre à niveau les clients qui utilisent RPC Signing. Si vous ne pouvez pas résoudre ces problèmes rapidement et que vous devez autoriser RPC Signing, nous vous recommandons au moins de désactiver la signature md5 la plus faible à l'aide de la clé de registre préexistante RejectMD5Clients.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
Escalade de privilèges |
Réseau |
Services précédemment couverts
De nombreuses autres CVE sont couvertes par le Patch Tuesday de ce mois-ci, nous ne pourrons donc pas les aborder toutes. Certaines de ces CVE concernent des services et fonctionnalités dont nous avons déjà parlé dans les analyses des Patch Tuesday précédents. Si nos analyses ou nos recommandations générales concernant ces services vous intéressent, nous vous invitons à consulter nos publications précédentes.
Service |
Numéro CVE |
Effet |
Accès requis |
Exécution de code à distance |
Authentification en tant que membre du site |
||
Usurpation |
Authentification avec les autorisations de création de page |
||
Exécution de code à distance |
Réseau |
||
Déni de service |
Réseau |
||
Exécution de code à distance |
Utilisateur accédant à un serveur malveillant |
||
Divulgation d'informations |
Authentification avec des identifiants d'administrateur |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées.
Pour de plus amples recherches sur la sécurité, suivez-nous sur Twitter !