Le point de vue d'Akamai sur le Patch Tuesday du mois d'août
par l'équipe Recherche sur la sécurité d'Akamai
Le Patch Tuesday du mois d'août de Microsoft est publié et nous avons, dans le cadre de la recherche sur la sécurité d'Akamai, entrepris d'examiner les vulnérabilités les plus intrigantes qui ont été corrigées. Dans ce rapport, nous tenterons d'évaluer l'importance réelle des vulnérabilités, le degré de banalisation des applications et des services affectés et nous donnerons notre propre point de vue sur les bugs qui ont été corrigés. Ne manquez pas ces informations le mercredi après chaque Patch Tuesday.
Il s'agit d'un rapport de mise à jour auquel nous ajouterons plus d'informations au fur et à mesure de l'avancement de nos recherches. Restez à l'écoute !
Dans ce rapport, nous nous concentrons sur quatre domaines où les bugs ont été corrigés :
Protocole PPP (Point-to-Point Protocol) Windows
Protocole SSTP (Security Socket Tunneling Protocol) Windows
NFS (Network File System)
Services de certificats Active Directory (AD CS)
Microsoft Exchange Server
Pour chaque service concerné, nous tenterons de fournir des recommandations de surveillance et d'atténuation pour les cas où l'application de correctifs n'est pas possible, soit en citant les recommandations de Microsoft, soit en proposant nos propres solutions de contournement basées sur notre expérience. Bien sûr, aucune mesure d'atténuation n'est aussi efficace que l'application de correctifs. Par conséquent, nous vous recommandons d'appliquer des correctifs à vos systèmes chaque fois que possible et à les maintenir à jour.
Vulnérabilités du serveur d'accès à distance
Ce Patch Tuesday a introduit des vulnérabilités critiques dans deux protocoles principaux du serveur d'accès à distance (RAS) : le protocole PPP et le protocole SSTP.
L'accès à distance est un rôle du service de Windows Server qui permet aux clients distants de se connecter au réseau local, comme un VPN. Le rôle de serveur doit être ajouté activement.
Protocole Point-to-Point Windows
Le protocole PPP (Point-to-Point Protocol) est intégré au serveur RAS et fournit des fonctions de cadre et d'authentification pour les connexions à distance.
Quatre vulnérabilités ont été détectées dans le protocole PPP : deux vulnérabilités critiques d'exécution de code à distance avec un score CVSS de 9,8 et deux vulnérabilités de déni de service (notées 7,5 et 5,9). D'après les conseils de Microsoft, un pirate distant non authentifié pourrait obtenir l'exécution de code sur un serveur RAS en envoyant une demande de connexion bien élaborée.
L'exploitation des quatre vulnérabilités semble peu probable, ce qui suggère que déclencher ces vulnérabilités ou en tirer profit pourrait être difficile, ou du moins une tâche non négligeable.
Quelle est l'importance du PPP ? Parmi tous les serveurs Windows que nous avons interrogés dans nos environnements surveillés, 40 % d'entre eux reçoivent des connexions sur le port 1723, qui est le port standard du protocole de tunnellisation point à point (PPP).
Où se trouve le bug ?
Analyse CVE
| Numéro CVE | Effet | Accès requis | Atténuation en plus de l'application de correctif |
|---|---|---|---|
| CVE-2022-35744 | Exécution de code à distance | Réseau | Désactivation du port 1723 |
| CVE-2022-30133 | |||
| CVE-2022-35769 | Déni de service | - | |
| CVE-2022-35747 |
Protocole SSTP (Secure Socket Tunneling Protocol) Windows
Selon le Microsoft Developer Network, le protocole SSTP (Secure Socket Tunneling Protocol) Windows est un mécanisme permettant d'encapsuler le trafic PPP sur HTTPS. Pour l'essentiel, ce protocole permet aux utilisateurs d'accéder à un réseau privé en utilisant le HTTPS.
Au total, nous avons corrigé six vulnérabilités d'exécution de code à distance affichant un score CVSS de 8,1. Deux autres bugs d'exécution de code à distance, ayant également des scores de 8,1, ont été corrigés. Nous pensons qu'ils sont liés au service SstpSvc. Nous avons corrigé une vulnérabilité de déni de service avec un score de 5,3.
Où se trouve le bug ? Le service Windows qui assure la prise en charge du SSTP est le SstpSvc, qui exécute à terme le fichier sstpsvc.dll.
Recommandations générales
À l'exception du CVE-2022-34701, toutes les vulnérabilités impliquent une concurrence critique. Les attaques impliquant des concurrences critiques nécessitent généralement plusieurs tentatives (dans un court laps de temps) et risquent d'entraîner une augmentation du trafic réseau. Par conséquent, la surveillance des pics de trafic peut permettre de détecter les tentatives d'attaque.
Analyse CVE
| Numéro CVE | Effet | Accès requis | Atténuation en plus de l'application de correctif |
|---|---|---|---|
| CVE-2022-35766 | Un pirate non authentifié pourrait réussir à exécuter un code à distance sur une machine de serveur RAS | Réseau | |
| CVE-2022-34702 | |||
| CVE-2022-35745 | |||
| CVE-2022-35767 | |||
| CVE-2022-34714 | |||
| CVE-2022-35794 | |||
| CVE-2022-35769 | Un pirate non authentifié pourrait réussir à exécuter un code à distance ; probablement par le biais du service SstpSvc | - | |
| CVE-2022-35747 | |||
| CVE-2022-34701 | Déni de service |
Network File System
Network File System (NFS), littéralement système de fichiers en réseau, est à l'origine un protocole réseau développé par Sun Microsystems pour permettre d'accéder à des fichiers distants via un réseau. Une implémentation de ce système existe dans Microsoft Windows et le rôle NFS peut être ajouté à un serveur pour le transformer en serveur NFS.
Analyse du domaine d'application
Vous devez ajouter la fonction NFS à un serveur et à un client Windows avant de pouvoir l'utiliser. Elle est incluse dans le rôle de serveur « Services de fichiers et de stockage » de Windows Server.
Le système NFS utilise généralement les ports 111 (port EpMapper de Sun RPC, les premières versions de NFS sont mises en œuvre sur Sun RPC) et 2049. Après examen de différents centres de données, nous avons constaté que seulement 0,1 % pouvaient potentiellement être des serveurs NFSv4, et seulement la moitié environ fonctionnent sous Windows.
Nous pensons également que le CVE de ce mois-ci a été introduit par l'une des dernières mises à jour de sécurité, puisque la mesure d'atténuation de Microsoft (désactivation de NFS v4.1) prévient qu'elle ne doit être effectuée que sur des serveurs entièrement corrigés, ce qui implique que les serveurs non entièrement corrigés pourraient être sûrs.
Recommandations générales
Habituellement, nous vous recommandons de vérifier s'il est possible de mettre à niveau votre serveur NFS pour utiliser NFS v4.1, car il s'agit de la version la plus sécurisée. La plupart des vulnérabilités liées au NFS dans ce TP concernent des versions antérieures du protocole. Cependant cette fois, la vulnérabilité affecte uniquement le NFS v4, par conséquent nous ne pouvons pas recommander une mise à niveau.
Nous vous conseillons plutôt d'appliquer la segmentation autour des serveurs NFS. Vous devez vérifier si vous pouvez limiter (cloisonner) les clients NFS à un groupe plus restreint de serveurs/postes de travail, et également limiter le trafic sortant du serveur NFS. Comme il s'agit d'un serveur, il est peu probable qu'il établisse des connexions. La segmentation peut limiter l'impact d'une exploitation réussie.
Analyse CVE
Numéro CVE |
Effet |
Accès requis |
Atténuation en plus de l'application de correctif |
Un pirate peut parvenir à exécuter un code à distance à l'aide d'appels non authentifiés vers le NFS v4 |
Réseau |
— Désactivation du NFSv4 — Restauration des mises à jour de sécurité (tout en conservant NFSv4 puisque la plupart des CVE précédents concernaient les versions antérieures) |
Services de certificats Active Directory
Les services de domaine Active Directory (Active Directory Domain Services, AD DS) sont l'un des principaux composants d'Active Directory. Les serveurs exécutant ce rôle sont les contrôleurs de domaine du domaine Windows.
Analyse du domaine d'application
Au moins un serveur Windows exécute les services AD DS dans chaque réseau de domaine Windows : le contrôleur de domaine.
La vulnérabilité de ce mois-ci concerne en fait les services de certificats Active Directory (AD CS), qui ne sont pas disponibles par défaut ; cela nécessite une installation de rôle supplémentaire. Dans les serveurs Windows que nous surveillons dans les environnements clients, nous constatons que 66 % de nos réseaux surveillés ont un serveur doté du rôle AD CS.
L'AD CS est connu pour être exploité de façon abusive par les pirates, l'exemple récent le plus notoire étant celui de PetitPotam, où il a été utilisé dans un flux d'attaques comme cible pour le relais NTLM (en utilisant une excellente recherche par SpecterOps).
Recommandations générales
Comme le service AD CS ne doit être installé que sur un nombre restreint de serveurs (voire sur un seul) de votre réseau, qui jouent un rôle essentiel dans l'architecture de votre domaine, nous vous recommandons vivement de corriger ces serveurs dès que possible.
Si cela n'est pas possible, le correctif du mois de mai a introduit des journaux d'événements Windows supplémentaires (à la suite d'autres CVE similaires) que vous devriez surveiller en cas d'activités irrégulières. Consultez la section KB5014754 pour plus d'informations
Analyse CVE
Numéro CVE |
Effet |
Accès requis |
Atténuation en plus de l'application de correctif |
Le pirate peut obtenir des privilèges SYSTÈME en modifiant certains attributs de l'utilisateur, puis en envoyant une demande à AD CS |
Réseau |
Désactivation de AD CS |
Microsoft Exchange Server
Microsoft Exchange Server est le serveur de messagerie développé par Microsoft. Ce mois-ci, nous avons corrigé six CVE, trois vulnérabilités critiques d'escalade de privilèges et trois vulnérabilités importantes de divulgation d'informations. Ces vulnérabilités affectent les installations sur site d'Exchange, et non les instances Office 365.
Analyse du domaine d'application
Avec l'introduction d'Office 365, de plus en plus d'entreprises abandonnent les installations sur site au profit de solutions SaaS. De toute évidence, dans nos réseaux surveillés, seulement 40 % disposent d'un serveur Exchange sur site.
Recommandations générales
Les vulnérabilités liées à la divulgation d'informations indiquent clairement qu'elles permettent aux pirates de lire des messages ciblés, mais Microsoft n'indique pas clairement l'effet des vulnérabilités d'escalade de privilèges. Nous pensons qu'elles pourraient permettre aux pirates d'envoyer des e-mails au nom d'autres utilisateurs. Comme elles sont également classées comme « Exploitation plus probable », nous vous recommandons vivement d'appliquer les correctifs à vos serveurs Exchange et d'activer la protection étendue. Pour plus d'informations, consultez la documentation de Microsoft Blog Exchange.
En outre, certaines de ces vulnérabilités nécessitent que le serveur Exchange accède à un serveur malveillant sous le contrôle du pirate. Si vous pouvez mapper les zones voisines requises de votre serveur Exchange sur site (serveurs de messagerie externes, bases de données, etc.) et créer des règles de cloisonnement pour ces zones, cela pourrait également constituer une mesure d'atténuation efficace.
Analyse CVE
Numéro CVE |
Effet |
Accès requis |
Atténuation en plus de l'application de correctif |
Une attaque réussie pourrait permettre à un pirate de lire et d'envoyer des e-mails |
Réseau |
— Cloisonnement des connexions sortantes des serveurs Exchange |
|
Réseau, accès à un serveur malveillant |
|||
Un pirate authentifié pourrait lire et envoyer des e-mails |
Réseau, authentification |
||
Lecture d'e-mails ciblés |
Réseau |
||
Réseau, accès à un serveur malveillant |
Cette présentation donne un aperçu de notre compréhension actuelle et de nos recommandations, compte tenu des informations disponibles. Notre analyse est en cours et toutes les informations contenues dans ce document sont susceptibles d'être modifiées.
