Le point de vue d'Akamai sur le Patch Tuesday de septembre 2023
Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées.
Administrateurs Microsoft : vous avez de quoi être fiers ! Seules deux des 65 CVE corrigées ce mois-ci ont été considérées comme critiques. Le score CVE le plus élevé est de 8,8. Deux vulnérabilités ont également été signalées comme exploitées « in the wild ». Par rapport aux mois précédents, ce n'est rien !
Dans ce rapport, nous évaluerons l'importance réelle des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Vous pouvez également voir une rapide synthèse du patch sur notre compte Twitter. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Vulnérabilités exploitées « in the wild »
CVE-2023-36802 — Microsoft Streaming Service Proxy (CVSS 7,8)
La solution Microsoft Streaming Service Proxy dépend de Microsoft Stream, digne successeur d'Office 365 Vidéo. Le service « MSKSSRV » est implémenté dans %WinDir%\System32\drivers\MSKSSRV.sys. La vulnérabilité a été exploitée « in the wild » pour se poursuivre par une escalade des privilèges.
CVE-2023-36761 — Microsoft Word (CVSS 6,2)
Une vulnérabilité exploitée « in the wild » dans Microsoft Word (score CVSS de 6,2) a été corrigée. Cette vulnérabilité de coercition à l'authentification semble être de type NTLM. Cette vulnérabilité affecte également le volet Aperçu.
Ce n'est pas la seule vulnérabilité Microsoft Word que nous avons corrigée ce mois-ci. En effet, une autre vulnérabilité de RCE (CVE-2023-36762) a eu un impact direct sur Word. Cette vulnérabilité affecte également le volet Aperçu, mais selon Microsoft, il est peu probable qu'elle soit exploitée, ce qui n'était pas le cas de la première vulnérabilité mentionnée.
Microsoft Azure Kubernetes Service
Microsoft Azure Kubernetes Service (AKS) est la plateforme Kubernetes de Microsoft dédiée au déploiement et à la gestion des environnements conteneurisés des utilisateurs.
D'après les notes de Microsoft, le point d'origine de cette vulnérabilité peut être une source externe, ce qui peut indiquer que l'attaque vise l'infrastructure AKS plutôt que le cluster en lui-même.
Après coup, l'attaque octroie à l'attaquant des privilèges d'administrateur sur le cluster Kubernetes. Bien que les conséquences semblent dramatiques, Microsoft a indiqué que cette vulnérabilité était peu susceptible d'être exploitée.
En parallèle, notre équipe de recherche dédiée à Kubernetes a publié un article de blog à propos de la CVE-2023-3676. Cette vulnérabilité permet l'exécution de code à distance (RCE, « remote code execution ») avec des privilèges SYSTÈME sur tous les terminaux Windows d'un cluster Kubernetes. .
Thèmes Windows
Thèmes Microsoft est une fonctionnalité Windows destinée à modifier les paramètres d'affichage des icônes, des polices et de bien d'autres aspects.
N'importe quel utilisateur peut appliquer un thème à un terminal. Aucun privilège n'est donc nécessaire. Pour exploiter la vulnérabilité corrigée, l'attaquant doit « tromper » l'utilisateur pour lui faire appliquer un fichier de thème malveillant.
D'après les notes de Microsoft, cette vulnérabilité exécute des codes à distance au niveau des terminaux. Nous supposons donc que le fichier de thème télécharge un fichier binaire depuis une source non autorisée pour le transférer vers un emplacement qui peut conduire à son exécution.
Partage de connexion Internet (« Internet Connection Sharing », ICS)
Une vulnérabilité de RCE a été détectée au niveau du service de partage de connexion Internet (« Internet Connection Sharing », ICS).
ICS est un service destiné à transformer un hôte Windows connecté à Internet en une passerelle Internet chargée de la mise en réseau d'autres hôtes du réseau local qui ne disposent pas d'un accès direct à Internet.
Ce service n'est censé être utilisé que par des hôtes issus du même réseau local. C'est donc probablement pour cela que Microsoft considère que cette vulnérabilité n'est exploitable que par des hôtes du même segment de réseau.
En dehors des anciennes versions Windows, le service ICS « SharedAccess » ne doit pas être exécuté par défaut.
Microsoft Exchange Server
Ce mois-ci, cinq CVE ont été identifiées dans Microsoft Exchange Server.Trois d'entre elles permettent l'exécution de code à distance sur le serveur distant, tandis que les deux autres sont des vulnérabilités de fuite d'informations ou d'usurpation critique. Toutes ces vulnérabilités impliquent des informations d'identification appartenant à un utilisateur Exchange valide.
Dans le cadre de nos observations, nous avons constaté que près de 28 % des environnements comptaient des serveurs Microsoft Exchange sur site.
Il est important de noter que les vulnérabilités répertoriées avaient déjà été corrigées dans la mise à jour logicielle Exchange du mois d'août. Les clients qui ont installé cette mise à jour sont donc déjà protégés.
Numéro CVE |
Effet |
Accès requis |
|---|---|---|
Exécution de code à distance |
Adjacent |
|
Divulgation d'informations |
Adjacent |
|
Usurpation |
Adjacent |
|
Exécution de code à distance |
Adjacent |
|
Exécution de code à distance |
Adjacent |
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Contournement de la fonction de sécurité |
Réseau |
||
Usurpation |
Local |
||
Escalade de privilèges |
Local |
||
Escalade de privilèges |
Réseau |
||
Divulgation d'informations |
Réseau |
||
Déni de service |
|||
Contournement de la fonction de sécurité |
Local |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Suivez également notre compte Twitter pour connaître les dernières informations en temps réel.
