Le point de vue d'Akamai sur le Patch Tuesday de novembre 2023
Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées.
Que faire pour se divertir entre Halloween et Hanouka ou Noël ? Lire les notes de correctifs, bien sûr ! Seules trois des 57 CVE corrigées ce mois-ci ont été considérées comme critiques. Le score CVE le plus élevé est de 9,8 et il revient deux fois. Trois vulnérabilités ont également été signalées comme exploitées « in the wild ».
Dans ce rapport, nous évaluerons l'importance réelle des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Vulnérabilités exploitées « in the wild »
CVE-2023-36025 — Windows SmartScreen (CVSS 8,8)
Il s'agit d'une vulnérabilité de contournement de sécurité, qui ignore l'avertissement de sécurité SmartScreen lors de l'ouverture de fichiers de raccourcis Internet (.URL) ou de liens hypertextes pointant vers ces fichiers. Les fichiers de raccourci doivent être spécialement conçus pour déclencher cette vulnérabilité. Ce n'est pas la première fois que des vulnérabilités de contournement de SmartScreen sont activement exploitées par des acteurs malveillants. Le groupe d'analyse des menaces de Google (Google TAG) a détecté et signalé que le ransomware Magniber a utilisé une vulnérabilité de contournement Windows SmartScreen auparavant.
CVE-2023-36036 — Pilote de mini-filtre de fichiers cloud Windows (CVSS 7,8)
Il s'agit d'une vulnérabilité d'escalade de privilèges qui permet aux attaquants d'obtenir des privilèges SYSTÈME. Le mini-filtre de fichiers cloud fait partie de moteurs de synchronisation cloud, ce qui fournit un accès WinAPI pour synchroniser et travailler avec des systèmes de fichiers basés sur le cloud. Le pilote de filtre est implémenté dans le fichier cldflt.sys.
CVE-2023-36033 — Bibliothèque principale du DWM Windows (CVSS 7,8)
Il s'agit d'une autre vulnérabilité d'escalade de privilèges, mais cette fois dans le gestionnaire de fenêtres du bureau de Windows (DWM). Il est responsable de la gestion des fenêtres visibles à l'écran. Le DWM fait partie de Windows depuis Windows Vista et est implémenté dans le processus dwm.exe. Cette vulnérabilité se trouve spécifiquement dans la bibliothèque principale, dwmcore.dll, qui est chargée dans ce processus.
Windows Pragmatic General Multicast
Windows PGM (Pragmatic General Multicast) est un protocole conçu pour distribuer des paquets à plusieurs membres du réseau de manière fiable. Sous Windows, la mise en œuvre de ce protocole est appelée « programmation multidiffusion fiable ». Une vulnérabilité critique d'exécution de code à distance dans ce protocole, avec un score CVSS de 9,8, a été corrigée dans ce Patch Tuesday.
Depuis Windows Server 2003, PGM s'appuie sur les sockets Windows. Dans l'espace utilisateur, il est implémenté dans une bibliothèque appelée wshrm.dll (DLL d'assistance de sockets Windows pour PGM, où « rm » signifie « remote multicast » ou multidiffusion à distance). Dans l'espace du noyau, PGM est implémenté via le pilote rmcast.sys.
Selon les mesures d'atténuation de Microsoft appliquées aux CVE, le service Message Queuing doit être en cours d'exécution pour que la vulnérabilité puisse être exploitée. Ce service n'est pas installé par défaut et doit être ajouté via l'écran Fonctionnalités du panneau de configuration.
Dans le cadre de nos observations, nous avons remarqué que près de 50 % des environnements étaient équipés de serveurs avec le service Message Queuing installé et en cours d'exécution, contre 25 % avec PGM installé. Bien que dans la plupart des centres de données Message Queuing soit activé sur quelques machines seulement, nous avons constaté que dans certains environnements, plusieurs serveurs exécutaient le service.
Vu la faible complexité des attaques pour toutes les vulnérabilités, nous recommandons de corriger les serveurs pertinents dès que possible. Si l'application de correctifs est impossible, en raison de la continuité opérationnelle ou de toute autre raison, nous vous recommandons de restreindre l'accès au service, au minimum en utilisant les règles de segmentation du réseau .
Le service Message Queuing étant accessible sur le port 1801, mais par un nombre peu élevé de clients (car il est principalement utilisé par l'application d'entreprise elle-même), nous vous recommandons de restreindre l'accès réseau arbitraire à ce port et à ce service. Essayez de le segmenter à l'aide de règles de liste blanche, en autorisant uniquement l'accès aux machines qui en ont réellement besoin.
Protocole Microsoft Protected Extensible Authentication Protocol
Le Protected Extensible Authentication Protocol (PEAP) est un protocole qui englobe l'Extensible Authentication Protocol (EAP) dans une session TLS. L'EAP est utilisé pour authentifier les terminaux et les connexions aux réseaux, ainsi que pour l'authentification du réseau Wi-Fi.
Les serveurs Windows peuvent être configurés avec un rôle facultatif, NPS (Network Policy Server), pour être utilisés afin d'authentifier et d'autoriser les demandes de connexion réseau avec l'EAP et le PEAP. Cette option n'est pas activée par défaut : le rôle du NPS doit être défini et configuré manuellement. D'après nos observations, seulement 21 % des réseaux disposent de serveurs NPS.
Dans la mesure où un NPS est censé être essentiel pour le réseau et traiter les demandes d'authentification, il peut être difficile d'appliquer des stratégies de segmentation sur ce réseau. À la place, Microsoft indique qu'une solution possible serait de bloquer le PEAP dans les négociations de protocole et fournit deux sources pour le faire.
Ce mois-ci, une vulnérabilité critique d'exécution de code à distance (CVE-2023-36028) avec un score de 9,8 a été corrigée.
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Exécution de code à distance |
Accès LAN, authentification |
||
Exécution de code à distance |
Accès LAN, authentification |
||
Usurpation |
|||
Déni de service |
Réseau |
||
Exécution de code à distance |
Réseau, nécessite que l'utilisateur se connecte à un serveur malveillant |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.
