Le point de vue d'Akamai sur le Patch Tuesday du mois de septembre
Le Patch Tuesday de Microsoft pour le mois de septembre a été publiéet le groupe Security Intelligence d'Akamai a entrepris d'examiner les vulnérabilités les plus intrigantes qui ont été corrigées. Dans ce rapport, nous tenterons d'évaluer l'importance réelle des vulnérabilités, le degré de banalisation des applications et services affectés et nous donnerons notre propre point de vue sur les bugs qui ont été corrigés. Ne manquez pas ces informations le jeudi après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Dans ce rapport, nous nous concentrons sur les domaines suivants où les bugs ont été corrigés :
Pour chaque service concerné, nous tenterons de fournir des recommandations de surveillance et d'atténuation pour les cas où l'application de correctifs n'est pas possible, soit en mentionnant les recommandations de Microsoft, soit en proposant nos propres solutions de contournement basées sur notre expérience. Bien sûr, aucune mesure d'atténuation n'est aussi efficace que l'application de correctifs. Par conséquent, nous vous recommandons d'appliquer des correctifs à vos systèmes dès que possible et de les maintenir à jour.
Vulnérabilités IPsec
IPSec est un groupe de suites de protocoles réseau sécurisés qui crypte et authentifie les paquets de données entre les ordinateurs sur un réseau IP. IPSec est principalement utilisé avec un VPN (virtual private network, réseau privé virtuel).
Ce Patch Tuesday a présenté trois vulnérabilités critiques d'exécution de code à distance dans deux protocoles principaux dans IPSec : IKEv1 et IPv6.
Les vulnérabilités sont présentes dans le flux de code responsable du traitement et de l'analyse des paquets entrants. Pour cette raison, et parce qu'elles peuvent être déclenchées à distance par un attaquant non authentifié, elles sont toutes classées comme critiques et ont reçu un score CVSS de 9,8.
Extensions de protocole Windows Internet Key Exchange
Le protocole Internet Key Exchange (IKE) est l'un des protocoles courants utilisés pour la négociation des clés de chiffrement.
Portée
Les systèmes sur lesquels IPSec est activé et qui utilisent IKEv1 sont vulnérables. Les serveurs Windows sont vulnérables, car ils activent IKEv1 et IKEv2.
Recommandations générales
Il est recommandé aux entreprises de désactiver IPSec s'il n'est pas utilisé.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Les vulnérabilités du protocole IKE ont été détectées par Yuki Chen de Kunlun Lab. Ces vulnérabilités semblent être causées par des dépassements entiers ou des sous-flux dans les fonctions IkeQueueRecvRequest, IkeDecryptOakNDPacket,et IkeDecryptOakPacket,qui peuvent entraîner une écriture hors limites. Ces vulnérabilités n'exigent pas qu'un attaquant envoie plusieurs requêtes, ce qui rend leur exploitation plus facile.
Numéro CVE |
Effet |
Accès requis |
Exécution de code à distance |
Réseau |
|
IPv6
Portée
Les systèmes avec IPSec et IPv6 activés sont vulnérables à ce bug.
Recommandations générales
Il est recommandé aux entreprises de désactiver IPSec s'il n'est pas utilisé.
CVE
Numéro CVE |
Effet |
Accès requis |
Exécution de code à distance |
Réseau |
Vulnérabilités de Microsoft Dynamics CRM
Dynamics CRM de Microsoft fait partie de Microsoft Dynamics 365. Cette solution est généralement proposée sous forme de service basé sur le cloud. Cependant, les vulnérabilités critiques corrigées dans le correctif de ce mois-ci concernent l'installation sur site de l'application. Ces vulnérabilités sont considérées comme critiques, avec un score CVSS de 8,8 et ont été détectées par Fabian Schmidt.
Portée
Microsoft Dynamics CRM doit être déployé avant de pouvoir être utilisé ou accédé, et il n'est pas fourni par défaut. Sa liste des ports étant assez générale, saisissez la clé de registre « HKLM\SOFTWARE\Microsoft\MSCRM » pour rechercher sa présence. Dans nos environnements surveillés, ce produit était rare au point de ne pas exister.
Recommandations générales
Si les correctifs doivent représenter la priorité immédiate, dans les cas où ils ne peuvent pas être effectués immédiatement, nous pensons qu'il devrait être possible de réduire le vecteur d'attaque à l'aide de la segmentation. La segmentation peut être effectuée sur deux niveaux :
Cloisonnement : vous pouvez limiter la portée des postes de travail pouvant accéder aux serveurs CRM uniquement aux employés devant accéder au système (généralement le personnel informatique et le service client).
De plus, si les serveurs CRM exécutent uniquement le CRM et rien d'autre, vous pouvez également limiter la communication réseau à la liste de ports requise pour le CRM, selon la documentation Microsoft.
Segmentation basée sur l'utilisateur : comme l'attaque nécessite un utilisateur authentifié, il s'agit également d'un bon vecteur d'atténuation.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
SQLi menant à l'exécution de la commande |
Accès réseau avec un utilisateur authentifié |
|
Vulnérabilités OLE DB et ODBC
OLE DB et ODBC sont deux spécifications API conçues pour éliminer la connexion entre un consommateur de données et une source de données. Alors que l'API ODBC est plus ancienne et procédurale, l'API OLE DB est plus récente et implémentée à l'aide du modèle d'objet de composant (COM, Component Object Model), et prend également en charge les bases de données non relationnelles.
Onze vulnérabilités d'exécution de code à distance ont été trouvées par le chercheur Haifei Li, toutes marquées comme importantes et notées CVSS 8,8. Li a certainement a exploité au mieux les mécanismes utilisés pour la connectivité de la base de données sous Windows. Six de ces vulnérabilités se trouvent dans le fournisseur OLE DB pour SQL Server et les cinq autres dans le pilote ODBC.
Vulnérabilités OLE DB
Les six vulnérabilités OLE DB ont exactement la même description de flux d'attaque dans leurs sections FAQ. La description contient une erreur (nous en avons informé le Centre de réponse aux problèmes de sécurité Microsoft) : elle mentionne un serveur contrôlé par un attaquant qui reçoit un paquet malveillant au lieu d'en envoyer un. Le texte corrigé est le suivant :
Un attaquant pourrait exploiter cette vulnérabilité en tentant de connecter un utilisateur authentifié à un serveur SQL malveillant via OLEDB, ce qui pourrait entraîner l'envoi par le serveur d'un paquet réseau malveillant. Cela pourrait permettre à l'attaquant d'exécuter le code à distance sur le client.
L'attaquant doit exécuter un certain déclencheur sur la machine victime, qui tentera ensuite de se connecter à un serveur distant contrôlé par l'attaquant. Ce dernier envoie un paquet malveillant, entraînant l'exécution du code sur le système client.
Portée
Les bibliothèques responsables de l'implémentation de la spécification OLE DB sont disponibles sur chaque système Windows. Par conséquent, l'exploitation ne nécessite pas l'installation d'une application, d'un service ou d'un rôle de serveur sur une machine pour qu'elle soit vulnérable.
Recommandations générales
La segmentation permet d'éviter l'exploitation des vulnérabilités de la base de données OLE. Une liste de serveurs SQL autorisés dans l'organisation garantit qu'aucune connexion n'est établie avec des serveurs externes inconnus, empêchant ainsi la chaîne d'attaque décrite ci-dessus.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
Exécution de code à distance dans le fournisseur OLE DB |
Réseau, mais nécessite une interaction utilisateur authentifiée |
|
Vulnérabilités ODBC
Le scénario d'attaque (pour les cinq vulnérabilités) implique d'utiliser un utilisateur authentifié pour ouvrir un fichier malveillant dans Microsoft Access, une application DBMS (Database Management System, système de gestion de base de données) intégrée à la suite Microsoft 365. Le fichier malveillant doit être ouvert via ODBC, ce qui déclenchera le code vulnérable dans le pilote ODBC et conduira à l'exécution arbitraire du code sur la machine de la victime avec le même niveau d'autorisation que le processus d'accès.
Le fichier malveillant doit être au format MDB, qui spécifie la structure et les entrées d'une base de données, et (éventuellement) les formulaires de saisie de données, les requêtes, les procédures stockées, etc. Le format de fichier MDB est relativement ancien, et son successeur d'Access 2007 (fichier .accdb), offre des fonctionnalités et capacités supplémentaires.
Portée
Selon plusieurs ressources,135 000 organisations utilisent l'application Microsoft Access comme solution de DBMS. Parmi les environnements que nous surveillons, 27 % des centres de données comprennent l'installation de l'application Microsoft Access sur certaines machines réseau.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
Exécution de code à distance dans le pilote ODBC |
Réseau, mais nécessite une interaction utilisateur authentifiée |
|
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
Exécution de code à distance |
Accès au réseau avec un utilisateur authentifié disposant des autorisations de gestion de liste |
|
Accès au réseau avec un utilisateur authentifié avec des autorisations de création de page |
Vulnérabilité d'exécution de l'appel de procédure à distance
L'appel de procédure à distance (RPC) est utilisé pour des communications interprocessus efficaces. Ce protocole repose sur un modèle client-serveur standard et fait partie des protocoles les plus utilisés dans Windows aujourd'hui. Microsoft utilise le RPC comme l'un des nombreux services Windows.
Cette vulnérabilité permet à un attaquant d'accéder à des fonctionnalités de portmap.sys, qui est un service mappant un programme RPC Open Network Computing à une adresse réseau.
Portée
Cette vulnérabilité n'est présente que sur les serveurs Windows.
CVE
Numéro CVE |
Effet |
Accès requis |
Exécution de code à distance |
Réseau |
Vulnérabilités Windows Kerberos
Kerberos est la base de l'architecture de domaine Windows. Il s'agit du mécanisme d'authentification par défaut, remplaçant New Technology LAN Manager. Deux vulnérabilités ont été détectées par James Forshaw. Ces deux vulnérabilités tournent autour de la rétrogradation du chiffrement et présentent un score CVSS de 8,1. En modifiant la connexion entre la victime et le contrôleur de domaine pour utiliser le cryptage RC4-md4 plus faible, l'attaquant peut craquer la clé de session Kerberos de la victime pour permettre l'élévation des privilèges.
Portée
Kerberos fait partie de chaque architecture de domaine Windows.
Recommandations générales
La recommandation de Microsoft est Kerberos Armoring, qui peut protéger des deux vulnérabilités. Vous pouvez vous référer à cette page pour plus d'informations. Le chercheur de vulnérabilités, James Forshaw, a expliqué qu'il ne suffit pas d'activer Kerberos Armoring, KDC doit appliquer cette exigence, et pas seulement la prendre en charge.
De plus, une attaque d'usurpation d'identité est l'une des conditions requises pour que les vulnérabilités fonctionnent (mais Forshaw indique que ce n'est pas nécessairement le cas avec CVE-2022-33679). Ainsi, l'attaquant se trouve entre la victime et le contrôleur de domaine. Les attaques d'usurpation d'identité sont un vecteur d'attaque commun et peuvent représenter des attaques assez « fortes ». Par conséquent, l'utilisation de solutions IDS ou IPS, ou la recherche active de menaces peut aider à atténuer une partie du risque.
CVE (Common Vulnerabilities and Exposures, vulnérabilités et failles courantes)
Numéro CVE |
Effet |
Accès requis |
Atténuation en plus de l'application de correctif |
Élévation des privilèges, jusqu'au système |
réseau, avec usurpation d'identité entre la victime et le contrôleur de domaine |
||
Réseau |
Activation de la préauthentification Kerberos sans clé RC4 |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées.