Le point de vue d'Akamai sur le Patch Tuesday de septembre 2024
Allez, tous de retour à l'école ! Notre objectif principal : l'analyse CVE. Comme chaque mois, le groupe Security Intelligence d'Akamai s'est penché sur les vulnérabilités les plus intrigantes qui ont été corrigées.
Dans cet article de blog, nous évaluerons l'importance des vulnérabilités, ainsi que le degré de banalisation des applications et des services affectés dans le but de vous donner un point de vue réaliste sur les bugs corrigés. Ne manquez pas ces informations après chaque Patch Tuesday.
Il s'agit d'un rapport continu, auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Ce mois-ci, nous nous concentrons sur les domaines suivants puisque des bugs y ont été corrigés :
Vulnérabilités trouvées « in the wild »
CVE-2024-43491 — Microsoft Windows Update (CVSS 9.8)
Un problème avec le numéro de version de la mise à jour de sécurité du mois de mars a déclenché un bogue dans la partie de Windows Update qui gère les composants facultatifs. Windows Update a ainsi déterminé que les mises à jour ultérieures n'étaient pas applicables et a rétabli ces composants à leur version de base.
Selon Microsoft, le bogue de Windows Update n'a pas été exploité publiquement, mais certains des composants affectés avaient exploité publiquement des vulnérabilités, d'où les catégorisations.
Pour gérer cette CVE, vous devez installer à la fois la mise à jour de sécurité KB5043083 et la mise à jour de la pile de maintenance KB5043936.
Les composants concernés sont les suivants :
Services AD LDS (Active Directory Lightweight Directory Services)
Outils d'administration
ASP.NET 4.6
Internet Explorer 11
Internet Information Services
Service d'impression LPD
Serveur central Microsoft Message Queue (MSMQ)
Prise en charge HTTP MSMQ
MultiPoint Connector
Prise en charge du partage de fichiers SMB 1.0/CIFS
Télécopie et numérisation Windows
Windows Media Player
Client Dossiers de travail
Visionneuse XPS
Vous pouvez vérifier si l'un de ces composants est activé sur votre ordinateur à l'aide de la requête OSQuery suivante :
SELECT
name, caption, statename
FROM
windows_optional_features
WHERE
caption IN (
'Active Directory Lightweight Directory Services',
'Administrative Tools',
'ASP.NET 4.6',
'Internet Explorer 11',
'Internet Information Services',
'LPD Print Service',
'Microsoft Message Queue (MSMQ) Server Core',
'MSMQ HTTP Support',
'MultiPoint Connector',
'SMB 1.0/CIFS File Sharing Support',
'Windows Fax and Scan',
'Windows Media Player',
'Work Folders Client',
'XPS Viewer'
)
AND state = 1
CVE-2024-38014 — Windows Installer (CVSS 7.8)
Windows Installer (msiexec.exe) est le composant de Windows chargé de la gestion et de l'installation des fichiers .msi. Nous ne possédons pas énormément d'informations concernant cette vulnérabilité, mais étant donné que son exploitation réussie permet d'obtenir des privilèges SYSTÈME, le problème pourrait provenir du service Windows Installer (qui pointe également vers msiexec) et pas seulement du binaire.
CVE-2024-38226 — Fonctionnalités de sécurité de Microsoft Publisher (CVSS 7.3)
Les fonctionnalités de sécurité de Microsoft Publisher sont censées protéger les utilisateurs contre les documents Microsoft Office malveillants et nuisibles. Les attaquants peuvent intégrer des morceaux de code malveillants, sous forme de macros, dans des documents Office. Les fonctionnalités de sécurité de Publisher empêchent l'exécution automatique des macros et présentent aux utilisateurs un message contextuel pour confirmer leur exécution.
La CVE-2024-38226 permet de contourner ces protections pour que le code malveillant s'exécute automatiquement à l'ouverture du document.
CVE-2024-38217 — Mark of the Web de Windows (CVSS 5,4)
C'est le deuxième mois consécutif qu'un contournement Mark of the Web est observé. Mark of the Web est la fonction de sécurité chargée de marquer les fichiers potentiellement dangereux téléchargés à partir d'Internet, et qui déclenche l'avertissement de sécurité SmartScreen lors de leur ouverture. Ce contournement ignore cet avertissement. Cette vulnérabilité nécessite que l'attaquant crée un fichier d'une manière spécifique qui entraînera l'absence de vérification du fichier de la part de Windows SmartScreen et permettra donc de contourner l'écran d'avertissement.
Le mois dernier, ce n'était pas la première fois que des vulnérabilités de contournement de SmartScreen étaient activement exploitées par des acteurs malveillants. Les correctifs de novembre 2023 et février 2024 incluaient également des correctifs de vulnérabilités de contournement qui ont été signalées comme étant activement exploitées.
Outre les CVE exploitées dans la vie réelle, une autre CVE a été corrigée ce mois-ci, CVE-2024-43487, qui a obtenu un score CVSS de 6,5.
Microsoft SharePoint est un système de stockage et de gestion de documents basé sur le Web, intégré à d'autres produits Microsoft Office. Il y a cinq CVE ce mois-ci, deux vulnérabilités critiques d'exécution de code à distance (RCE) avec des scores CVSS de 8,8 (CVE-2024-38018) et 7,2 (CVE-2024-43464). Parmi les autres vulnérabilités figurent deux autres vulnérabilités RCE et une vulnérabilité de déni de service (DoS).
CVE-2024-38018 exige que les attaquants s'authentifient sur le serveur SharePoint avec un compte ayant au moins les autorisations SiteMember. Il n'y a pas de détails sur ce que l'attaquant doit faire pour déclencher l'exécution de code.
CVE-2024-43464, CVE-2024-38227et CVE-2024-38228 exige des autorisations SiteOwner. Elle nécessite également de télécharger un fichier élaboré et d'y accéder à l'aide d'une requête API. Cela déclencherait une désérialisation des paramètres du fichier et provoquerait une injection de code dans le processus du serveur SharePoint.
D'après nos observations, nous avons constaté qu'environ 30 % des environnements avaient au moins une machine sur laquelle était installé un serveur SharePoint. .
Les serveurs SharePoint étant généralement destinés au partage de documents, il peut être difficile de segmenter ou de limiter l'accès des utilisateurs à ces serveurs sans nuire aux opérations normales. Par conséquent, nous vous recommandons de corriger votre serveur dès que possible.
Toutefois, étant donné que les CVE RCE nécessitent une authentification de l'utilisateur, il est possible de limiter certains risques en renforçant l'accès des utilisateurs ou en augmentant la sensibilité aux alertes en cas d'activité ou de connexion utilisateur suspecte.
Traduction d'adresses de réseau Windows (NAT)
La traduction d'adresses de réseau (NAT) est une forme de réseau qui cartographie plusieurs adresses IP derrière une seule adresse IP. Sa principale utilisation consiste à séparer le réseau, en plaçant toute la plage IP du réseau interne derrière une seule adresse IP externe.
Ce mois-ci, CVE-2024-38119 est une vulnérabilité RCE critique de Windows NAT, dont l'exploitation implique de gagner face à une concurrence critique. On ne sait pas quel composant spécifique dans Windows est responsable de la NAT, et puisque la NAT se produit avant la pile réseau typique, la segmentation n'est probablement pas une atténuation possible. Par conséquent, nous recommandons d'appliquer des correctifs comme seule atténuation.
Microsoft SQL Server
Ce mois-ci, le serveur Microsoft SQL Server (MSSQL) compte 13 CVE. Neuf d'entre elles concernent la fonctionnalité de Scoring natif de MSSQL (qui est une fonctionnalité d'apprentissage automatique pour prédire les valeurs de données basées sur des modèles pré-entraînés) ; parmi ces neuf CVE, six sont des RCE. Et le serveur MSSQL natif compte quatre CVE supplémentaires.
Dans la mesure où les serveurs SQL contiennent généralement des informations sensibles, ces derniers doivent être segmentés et soumis à des restrictions de contrôle d'accès afin d'éviter tout risque de vol de données. Si vous n'avez pas mis en place de stratégies de ce type, le moment est venu de les ajouter. Mappez vos serveurs MSSQL existants (soit en recherchant le service MSSQL, soit en recherchant les connexions sur les ports 1433 et 1434).
Une fois ces serveurs mappés, créez des stratégies de segmentation en fonction du trafic existant et des autres services nécessitant l'accès (p. ex., en permettant au service informatique d'accéder à l'ensemble des informations, au service financier d'accéder aux informations financières, etc.). Profitez-en également pour déterminer qui sont les acteurs malveillants qui accèdent à des bases de données auxquelles ils ne devraient pas accéder.
D'après nos observations, 75 % des réseaux ont des serveurs MSSQL.
Service |
Numéro CVE |
Effet |
|---|---|---|
Scoring natif de Microsoft SQL Server |
Exécution de code à distance |
|
Divulgation d'informations |
||
Microsoft SQL Server |
||
Escalade de privilèges |
||
Services précédemment couverts
De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.
Service |
Numéro CVE |
Effet |
Accès requis |
|---|---|---|---|
Déni de service |
Réseau |
||
Escalade de privilèges |
Réseau |
||
Exécution de code à distance |
Réseau, avec service NetNAT activé |
||
Usurpation |
Réseau |
||
Exécution de code à distance |
Réseau, tout utilisateur authentifié |
||
Divulgation d'informations |
Réseau |
||
Déni de service |
|||
Usurpation |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées. Vous pouvez également nous suivre sur X, anciennement connu sous le nom de Twitter, pour les actualités en temps réel..