Le point de vue d'Akamai sur le Patch Tuesday d'octobre 2024
Un nouveau mois commence et nous avons un grand bol de CVE... mais contrairement aux bonbons, nous ne pouvons pas les donner aux enfants déguisés. Ce mois-ci, il y a 117 CVE au total dans 60 composants différents. Trois d'entre elles sont critiques, deux ont été exploitées dans la vie réelleet nous en avons identifiée une..
Dans cet article de blog, nous évaluerons l'importance des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Vulnérabilités trouvées dans la vie réelle
CVE-2024-43572 — Microsoft Management Console (CVSS 7.8)
Microsoft Management Console (mmc.exe) est une interface graphique pour divers composants.
L'observateur d'événements Windows, le gestionnaire de services et le planificateur de tâches sont tous implémentés en tant que composants logiciels enfichables pour Microsoft Management Console, entre autres.
Les composants logiciels enfichables eux-mêmes sont également des fichiers avec l'extension .msc, qui indiquent à la console de gestion ce qu'elle doit afficher et quelles fonctionnalités offrir. (ainsi par exemple, lorsque vous exécutez l'observateur d'événements, vous exécutez en fait mmc.exe eventvwr.msc en coulisse).
Cette vulnérabilité semble être associée au chargement de fichiers .msc non fiables. Une manipulation incorrecte conduit probablement à une exécution de code à distance (RCE). Dans le cas présent, « à distance » se réfère à la distance entre l'attaquant et la victime. La victime doit télécharger et ouvrir un fichier .msc malveillant pour déclencher cette vulnérabilité. En plus de corriger la vulnérabilité RCE, le patch du mois inclut également un correctif qui empêche le chargement des fichiers .msc non fiables.
CVE-2024-43573 — Plateforme Windows MSHTML (CVSS 6,5)
MSHTML est un moteur de rendu de page Web pour le système d'exploitation Windows. Il expose une interface Component Object Model (COM) pour permettre aux programmes d'ajouter des capacités de rendu Web. Il est utilisé par Internet Explorer, le mode Internet Explorer de Microsoft Edge, Microsoft Outlook et divers autres programmes.
De nombreuses vulnérabilités ont été découvertes dans la plateforme MSHTML par le passé (dont certaines par les chercheurs d'Akamai). Il s'agit d'une cible d'exploitation de choix pour les attaquants en raison de sa capacité à contourner les mécanismes de défense et du fait qu'il s'agit d'une fonctionnalité intégrée à Windows.
Vulnérabilités découvertes par les chercheurs d'Akamai
CVE-2024-43532 — Remote Registry Service (CVSS 8.8)
Remote Registry Service de Windows permet l'interaction avec le registre Windows entre ordinateurs distants et est implémenté sur le protocole d'appel de procédure à distance (RPC). La vulnérabilité CVE-2024-43532 a été trouvée par le chercheur Akamai Stiv Kupchik et révélée en février 2024.
La vulnérabilité existe en fait du côté client de l'implémentation RPC de Remote Registry, dans les fonctions RegConnectRegistry et RegConnectRegistryEx. La cause principale est un mécanisme de repli dans les transports RPC. Bien que le trafic de Remote Registry distant soit généralement géré par le biais de canaux nommés SMB, l'implémentation client contient un mécanisme de repli vers TCP lorsque le canal nommé n'est pas disponible. Contrairement au trafic SMB, qui utilise une authentification et un cryptage sécurisés, le trafic TCP utilise une authentification sans contrôles d'intégrité ni cryptage, ce qui le rend vulnérable aux attaques par relais NTLM.
Nous présenterons cette vulnérabilité à la conférence No Hat 2024, vous pouvez donc vous rendre sur place pour assister à la conférence ou lire l'article de blog que nous publierons après l'événement.
Microsoft Configuration Manager
Microsoft Configuration Manager fait partie de la famille de logiciels Intune et est destiné à aider les responsables informatiques à configurer et à gérer un grand nombre d'ordinateurs et de serveurs Windows.
Il y a plusieurs composants dans une configuration de Configuration Manager, mais celui qui nous intéresse est sa base de données SQL. Selon les notes de CVE-2024-43468et son identifiant de faiblesse, l'exploitation réussie de cette vulnérabilité permet d'exécuter des commandes sur sa base de données (et dans le cas d'une installation monobloc sur un serveur unique, sur le serveur principal de Configuration Manager).
Étant donné qu'il existe des correctifs pour Configuration Manager et son application de console, le problème vient probablement du fait que les valeurs saisies sur le serveur ne sont pas nettoyées ou validées avant d'être transmises à la base de données (plutôt que de la sécurité de la base de données elle-même). En conséquence, la simple sécurisation de la base de données par segmentation n'est pas susceptible de réduire l'impact de cette vulnérabilité, bien qu'il s'agisse néanmoins d'une bonne mesure de sécurité.
Il peut être possible de détecter les installations de Configuration Manager grâce à l'osquery suivante :
SELECT display_name, status, start_type, path FROM services WHERE name='SMS_Executive’
Bureau à distance Windows
Le Bureau à distance Windows est utilisé pour la connexion de bureau à distance entre des machines Windows via le protocole RDP (Remote Desktop Protocol). Il y a plusieurs vulnérabilités ce mois-ci dans les différents composants du Bureau à distance Windows, nous allons donc les étudier ensemble.
La principale est bien sûr CVE-2024-43582 , une vulnérabilité RCE critique sur le service côté serveur. Un attaquant a « seulement » besoin de se connecter à un serveur RDP, de le spammer avec des paquets malformés et de gagner face à une concurrence critique qui peut ensuite être exploitée pour une vulnérabilité RCE.
Comme RDP est très commun dans les réseaux et qu'il peut être utilisé pour les mouvements latéraux, nous recommandons de mettre en place des règles en conséquence. Dans le cadre de nos observations, 89 % des réseaux disposaient d'un trafic Windows RDP et 73 % d'entre eux d'un trafic sans restriction.
La restriction de l'accès RDP aux machines des utilisateurs ou uniquement aux serveurs pré-autorisés (comme les jump boxes), peut considérablement réduire le risque que présentent ces vulnérabilités. Nous avons abordé quelques gains rapides concernant RDP dans notre article de blog sur la segmentation. Quelle que soit la règle appliquée, nous vous recommandons de corriger le problème dès que possible.
Composant |
Numéro CVE |
Score CVSS |
Effet |
|---|---|---|---|
Serveur Remote Desktop Protocol |
8,1 |
Exécution de code à distance |
|
Service des licences du bureau à distance Windows |
7,5 |
||
Client de bureau à distance |
8,8 |
||
8,8 |
|||
Déploiement des services de bureau à distance Windows |
4,8 |
Falsification |
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Escalade de privilèges |
Réseau, authentification |
||
Divulgation d'informations |
Réseau |
||
Exécution de code à distance |
Local, nécessite l'ingénierie sociale ou l'hameçonnage |
||
Exécution de code à distance |
Réseau |
||
Escalade de privilèges |
Local |
||
Exécution de code à distance |
Réseau |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel.