Le point de vue d'Akamai sur le Patch Tuesday d'octobre 2023
Comme chaque mois, le groupe Security Intelligence d'Akamai a examiné les vulnérabilités les plus intrigantes qui ont été corrigées. 12 des 105 CVE corrigées ce mois-ci ont été considérées comme critiques. Le score CVE le plus élevé est de 9,8. Trois vulnérabilités ont également été signalées comme étant exploitées « in the wild ».
Le rapport de ce mois-ci est plus court que d'habitude et se concentre sur les vulnérabilités qui ont été détectées. exploitées « in the wild ».
Vulnérabilités exploitées « in the wild »
CVE-2023-44487 — HTTP/2 Rapid Reset Attack (CVSS 7.5)
Il s'agit d'une vulnérabilité de déni de service (DoS) découverte et signalée par Google, Cloudflareet Amazon. La vulnérabilité a permis la plus grande attaque par déni de service distribué (DDoS) dans l'histoire à ce jour, et s'appuie sur une technique appelée « Rapid Reset » dans HTTP/2, qui à son tour exploite le multiplexage de flux.
Atténuation
Cette attaque, bien que nouvelle, se situe au niveau du protocole et serait atténuée par Akamai au nom de ses clients de la même manière que toute autre attaque DDoS de couche 7 à l'aide de fonctionnalités de produits de sécurité telles que les contrôles de taux, le pare-feu d'application Web, Bot Manager Premier ou Client Reputation.
Les serveurs Web utilisant HTTP/2 qui ne sont pas protégés par Akamai doivent installer les correctifs de l'éditeur ou désactiver HTTP/2 pour empêcher l'exploitation de cette CVE.
Microsoft propose une solution de contournement pour désactiver HTTP/2 via deux clés de registre, EnableHttp2TIs et EnableHttp2Cleartext. Voici une requête OSquery que les clients Akamai Guardicore Segmentation peuvent utiliser pour lire cette valeur sur les serveurs du réseau :
SELECT name, data FROM registry
WHERE path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2TIs" or path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2Cleartext";
CVE-2023-36563 — Vulnérabilité de divulgation d'informations de Microsoft WordPad (CVSS 6.5)
Cette vulnérabilité permet à un attaquant de divulguer le hachage NTLM d'une victime. L'exploitation se fait en exécutant une application spécialement conçue, ce qui peut également être réalisé en convainquant la victime d'ouvrir un fichier malveillant. Nous ne disposons pas de tous les détails sur la manière dont ces informations d'identification peuvent être divulguées, mais il est probable que l'attaque consiste à les divulguer par l'intermédiaire de SMB.
Microsoft WordPad est installé sur tous les postes Windows.
Atténuation
Outre l'application de correctifs, nous recommandons les mesures suivantes :
Utilisez la microsegmentation pour bloquer le trafic SMB (port TCP 445) du processus WordPad (wordpad.exe) vers des destinations Internet.
Sous Windows 11, il est possible de désactiver l'envoi automatique des hachages NTLM aux sites distants via les stratégies de groupe : Modèles administratifs > Réseau > Poste de travail Lanman > Bloquer NTLM.
CVE-2023-41763 — Vulnérabilité d'élévation de privilèges dans Skype for Business (CVSS 5.3)
La dernière vulnérabilité exploitée « in the wild » concerne Skype for Business. Un attaquant pourrait passer un appel spécial au serveur Skype for Business cible, qui enverrait alors une requête à une adresse arbitraire (contrôlée par l'attaquant) et divulguerait des adresses IP et/ou des numéros de port. Ces informations peuvent parfois permettre d'accéder à des réseaux internes, ce qui confère à cette vulnérabilité sa classe d'élévation de privilèges.
Atténuation
Nous conseillons à nos clients d'appliquer des correctifs à leurs serveurs Skype selon les instructions de Microsoft.
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Suivez également notre compte Twitter pour connaître les dernières informations en temps réel.
