Le point de vue d'Akamai sur le Patch Tuesday d'octobre 2022
Le Patch Tuesday d'octobre 2022 de Microsoft a été publiéet le groupe Security Intelligence d'Akamai a entrepris d'examiner les vulnérabilités les plus intrigantes qui ont été corrigées. Dans ce rapport, nous tentons d'évaluer l'importance réelle des vulnérabilités ainsi que le degré de banalisation des applications et des services affectés. Nous donnons également notre propre point de vue sur les bugs ayant été corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Dans ce rapport, nous nous concentrons sur les domaines suivants où les bugs ont été corrigés :
Dans un autre article de blog, nous avons également abordé deux vulnérabilités découvertes par notre équipe puis corrigées ce mois-ci. Les deux vulnérabilités, l'une dans le service Serveur et l'autre dans le service Poste de travail, sont liées à la mise en cache des rappels de sécurité MS-RPC, un mécanisme que nous expliquons en détail dans l'article précédent. Les vulnérabilités ont été décelées dans le cadre des efforts continus de notre équipe en matière de MS-RPC. Si vous souhaitez en savoir plus sur ces vulnérabilités spécifiques, notamment les outils d'automatisation et d'autres supports de partage des connaissances, vous pouvez consulter notre nouveau référentiel GitHub MS-RPC, qui a été lancé plus tôt cette semaine.
Pour chaque service affecté mentionné dans ce rapport, nous tentons de fournir des recommandations de surveillance et d'atténuation pour les cas où l'application de correctifs n'est pas possible, soit en indiquant les recommandations de Microsoft, soit en proposant nos propres solutions de contournement basées sur notre expérience. Bien sûr, aucune mesure d'atténuation n'est aussi efficace que l'application de correctifs. Par conséquent, nous vous recommandons d'appliquer les correctifs à vos systèmes dès que possible et de les maintenir à jour.
Cluster Connect Kubernetes compatible Azure Arc
Azure Arc permet aux clients de connecter l'infrastructure sur site à Azure afin de faciliter la gestion. Ainsi, les clients peuvent gérer l'ensemble de leurs environnements (machines virtuelles, clusters Kubernetes, bases de données, serveurs, etc.) à l'aide d'un seul gestionnaire de ressources : Azure Resource Manager. Kubernetes compatible Azure Arc permet à l'utilisateur de connecter et de configurer des Kubernetes quel que soit leur emplacement d'exécution, qu'il s'agisse d'un environnement cloud ou sur site, et de les afficher dans Azure Resource Manager.
Ce mois-ci, une vulnérabilité critique d'escalade de privilèges avec un score CVSS de 10 s'est produite dans la fonctionnalité Cluster Connect Kubernetes compatible Azure Arc. Cluster Connect est une fonctionnalité permettant au client de connecter facilement son cluster Kubernetes à ses services Azure Arc en exécutant un agent de proxy inverse sur le cluster. Elle permet également aux utilisateurs de se connecter à l' apiserveur de leur cluster sans activer de ports entrants sur leur pare-feu. Nous pensons qu'il s'agit de l'un des facteurs qui ont donné le score maximal à cette CVE, puisque n'importe quelle personne peut y accéder depuis Internet.
Selon Microsoft, afin d'être en mesure d'exploiter cette vulnérabilité, un pirate doit connaître le point de terminaison DNS externe généré de façon aléatoire pour le cluster et doit avoir accès à Internet. Si un pirate réussit à exploiter cette vulnérabilité, la fonctionnalité Cluster Connect autorise un utilisateur non authentifié à modifier ses privilèges en tant qu'administrateur de cluster, ce qui peut potentiellement lui accorder le contrôle sur le cluster Kubernetes. Azure Stack Edge est également vulnérable à cette CVE lorsque la solution est connectée à un Azure Arc vulnérable, car elle permet aux clients de déployer des charges de travail Kubernetes sur leurs terminaux via Azure Arc.
Recommandations générales
Étant donné que la fonctionnalité Cluster Connect Kubernetes compatible Azure Arc communique via le port TCP 443, la segmentation de ce port n'est pas négligeable. Cependant, nous avons une bonne nouvelle : si vous utilisez Azure Arc, sa mise à niveau automatique est activée par défaut et vous devriez donc être protégé. Si vous n'êtes pas certain de votre protection, vous pouvez consulter cette page pour vérifier si votre mise à niveau automatique est activée. Si ce n'est pas le cas, utilisez ce manuel pour procéder à la mise à niveau de votre agent.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
Escalade de privilèges |
Accès Internet au cluster vulnérable. Aucune authentification utilisateur requise. |
Microsoft CryptoAPI
Microsoft CryptoAPI est la méthode propriétaire de Microsoft de gestion des connexions sécurisées et de vérification de la signature de code. La gestion des certificats constitue l'un des rôles les plus importants de CryptoAPI.
Microsoft a corrigé un problème relatif à la bibliothèque CryptoAPI lors du Patch Tuesday d'août 2022. Ce problème a été signalé par le National Cyber Security Centre du Royaume-Uni et la National Security Agency des États-Unis, et l'avis a été publié en octobre.
Nous pensons que le changement le plus pertinent s'est produit dans crypt32.dll, où la fonction CreateChainContextFromPathGraph a été modifiée. Nous supposons que la vulnérabilité est liée à ces changements.
CreateChainContextFromPathGraph est appelée par CertGetCertificateChain, qui est un appel d'API bien documenté et exécuté chaque fois qu'une connexion sécurisée est établie afin de créer un contexte de chaîne de certificats. Nous soupçonnons actuellement que la vulnérabilité réside dans une vérification manquante dans la fonction.
En cas d'attaque réussie, un pirate peut usurper une identité et se faire passer pour un partenaire légitime utilisant une connexion sécurisée. Pour ce faire, le pirate a probablement besoin d'exécuter une attaque de type « machine-in-the-middle ». De plus, nous comprenons d'après les notes de correctif que le pirate n'a pas besoin de s'authentifier pour exploiter cette vulnérabilité. Un pirate peut également manipuler le certificat X509 en vue de contourner la protection de signature de code.
Recommandations générales
Microsoft souligne que cette vulnérabilité peut être exploitée à distance et sans authentification. Étant donné que Microsoft CryptoAPI est largement utilisé dans Windows et présent sur chaque point de terminaison Windows, il est recommandé d'installer le correctif. Il convient également de noter que cette vulnérabilité a été corrigée lors du Patch Tuesday d'août. Par conséquent, les machines ayant été mises à jour à partir d'août sont protégées contre cette vulnérabilité.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
Usurpation |
Réseau |
Protocole de tunnelisation Point-to-Point Windows
Le protocole Point-to-Point (PPP) est intégré au serveur d'accès à distance (RAS) et fournit des fonctions de cadre et d'authentification pour les connexions à distance.
Sept vulnérabilités ont été corrigées dans le protocole PPP ce mois-ci, toutes étant des vulnérabilités critiques d'exécution de code à distance (RCE) avec un score CVSS de 8,1. En août dernier, le même chercheur, Yuki Chen , a détecté deux vulnérabilités RCE dans le même protocole avec un score CVSS de 9,8.
D'après les informations de Microsoft, un pirate distant non authentifié pourrait exécuter le code sur un serveur de protocole de tunnelisation Point-to-Point (PPTP) en envoyant un paquet PPTP malveillant. Toutefois, l'exploitation des sept vulnérabilités est considérée comme peu probable en raison de la complexité de l'attaque. Elle nécessite de gagner face à une concurrence critique, ce qui n'est pas déterministe et peut prendre du temps.
Quelle est l'importance du PPTP ? Parmi tous les serveurs Windows que nous avons interrogés dans nos environnements surveillés, 40 % d'entre eux reçoivent des connexions sur le port 1723, qui est le port standard du PPTP. Pour les serveurs exposés à Internet, Shodan indique que 3,3 millions de serveurs écoutent sur le port 1723. Cependant, presque aucun d'entre eux n'exécute Windows.
Où se trouve le bug ? Nous pensons que ces vulnérabilités résident dans raspptp.sys, le pilote qui met en œuvre le PPTP.
Recommandations générales
Microsoft souligne que cette vulnérabilité peut être exploitée uniquement via les communications sur le port 1723. Outre l'application de correctifs, l'exploitation peut être évitée en segmentant les serveurs RAS du réseau et en bloquant les connexions sur ce port. Toutefois, il convient de noter que le blocage du port peut perturber les communications régulières.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
CVE-2022-38047 |
RCE |
Réseau |
CVE-2022-24504 |
||
CVE-2022-38000 |
||
CVE-2022-22035 |
||
CVE-2022-30198 |
||
CVE-2022-33634 |
||
CVE-2022-41081 |
Microsoft Office
Microsoft Office est une suite de logiciels client. Le Patch Tuesday d'octobre a corrigé plusieurs vulnérabilités importantes présentes dans les applications Office. Trois de ces vulnérabilités pourraient entraîner l'exécution arbitraire de code en cas d'exploitation réussie par un acteur malveillant. Une autre vulnérabilité (CVE-2022-38001) est une vulnérabilité d'usurpation, qui, selon nous, entraîne une coercition à l'authentification. Étant donné que Microsoft décrit que les problèmes ne sont pas déclenchables à partir du volet Aperçu, nous supposons que ces vulnérabilités sont liées aux macros, car celles-ci nécessitent une interaction utilisateur avant d'être affichées/exécutées.
Recommandations générales
Les vulnérabilités concernent la suite d'applications Microsoft Office et non Office 365. Par conséquent, les clients utilisant Microsoft Office doivent mettre à jour leurs machines. Étant donné que les diverses applications Microsoft Office exposent une surface d'attaque importante et présentent des vulnérabilités récurrentes, il est recommandé d'utiliser Application Guard pour Office, si possible. Application Guard permet de suivre un processus d'ouverture des pièces jointes dans un environnement sandbox et, par conséquent, évite d'endommager la machine hôte en cas d'exploitation de la vulnérabilité.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
Exécution de code arbitraire |
Local/distant. Cette vulnérabilité nécessite une interaction utilisateur (par exemple, l'ouverture d'un document ou l'autorisation de macros). |
|
Usurpation |
Services de certificats Active Directory
Les services de domaine Active Directory (Active Directory Domain Services, AD DS) sont l'un des principaux composants d'Active Directory. Les serveurs exécutant ce rôle sont les contrôleurs de domaine du domaine Windows.
Analyse du domaine d'application
Au moins un serveur Windows exécute les services AD DS dans chaque réseau de domaine Windows : le contrôleur de domaine.
La vulnérabilité de ce mois-ci concerne en fait les services de certificats Active Directory (AD CS), qui ne sont pas disponibles par défaut ; cela nécessite une installation de rôle supplémentaire. Dans nos serveurs Windows surveillés au sein d'environnements client, nous pouvons constater que 66 % de nos réseaux surveillés disposent d'un serveur avec le rôle AD CS.
Le rôle AD CS est connu pour être usurpé par les pirates. Dans l'exemple récent le plus notoire, PetitPotam, il a été utilisé dans le flux d'attaque comme cible pour le relais NTLM (en utilisant une excellente recherche par SpecterOps).
Recommandations générales
Étant donné que les serveurs AD CS sont peu nombreux et éloignés, il devrait être possible d'avoir recours à la segmentation réseau pour limiter les connexions anormales ou avoir une visibilité sur celles-ci. Comme l'authentification AD CS se produit sur un port RPC, il peut être difficile de détecter uniquement les métadonnées de connexion (puisqu'elle a lieu sur un port éphémère aléatoire), qui sont fournies par la plupart des solutions de segmentation. Dans ce cas, il devrait toujours être possible de segmenter les connexions RPC sortantes à partir des serveurs Windows (en utilisant le port 135 du mappeur de points de terminaison RPC), en particulier vers les ordinateurs de bureau qui ne devraient pas recevoir de connexions RPC.
Analyse CVE
Dans la CVE-2022-37976, l'attaque n'est pas nécessairement ciblée vers les serveurs AD CS, mais considère plutôt qu'il s'agit de la seule exigence. L'attaque constitue plutôt une attaque de coercition à l'authentification sur les serveurs DCOM. Selon Microsoft, un client DCOM malveillant peut utiliser cette vulnérabilité pour forcer un serveur DCOM à s'authentifier auprès du client à l'aide d'AD CS et à relayer cette authentification pour éventuellement atteindre un jeton d'administrateur de domaine.
D'autre part, la CVE-2022-37978 concerne l'authentification NTLM. Étant donné que les réponses aux questions fréquemment posées sur la vulnérabilité précisent que l'attaque nécessite une machine intermédiaire (MITM, machine-in-the-middle) et est liée à l'authentification NTLM, nous pensons que cette vulnérabilité concerne le contournement des atténuations de relais NTLM existantes sur les serveurs AD CS.
Numéro CVE |
Effet |
Accès requis |
Un pirate peut obtenir des privilèges d'administrateur de domaine en procédant à une coercition à l'authentification avec AD CS à partir d'un serveur DCOM et en perpétrant une attaque inter-protocole |
Réseau |
|
Un pirate exploitant une attaque MITM peut contourner une fonctionnalité de sécurité relative à l'authentification NTLM |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées.