MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Parmi ces 98 correctifs, 11 sont classés critiques et 87 figurent dans la catégorie Importants. Le volume de correctifs est important pour un mois de janvier et il sera intéressant de voir que si cette tendance se poursuit tout au long de l’année 2023. En outre, l’une des vulnérabilités récemment corrigées est connue publiquement tandis qu’une autre est activement exploitée au moment de la publication.
De son côté Adobe a publié quatre patches pour corriger 29 vulnérabilités dans Adobe Acrobat et Reader, ainsi que dans Adobe Dimension, InCopy et InDesign. Les mises à jour contiennent des correctifs pour 15 vulnérabilités critiques détectées dans le Reader, 6 dans InDesign, 6 dans InCopy et 2 dans Dimension. Ces vulnérabilités peuvent faciliter l’exécution de code arbitraire lors de l’ouverture d’un fichier malveillant. Aucune attaque connue ou active n’a été signalée au moment de cette publication. Adobe évalue que cette mise à jour présente une priorité de déploiement de niveau 3.
Windows 7, Windows Server 2008 et Windows Server 2008 R2 ont atteint la fin de leur support étendu par Microsoft, ce qui signifie que l’éditeur ne fournira plus de mises à jour ou de patchs de sécurité pour ces systèmes d’exploitation. Les utilisateurs de ces systèmes ne seront donc plus protégés contre les nouvelles vulnérabilités de sécurité et seront de fait plus exposés à des risques de malware et autres cyberattaques.
Les utilisateurs de ces systèmes doivent donc passer à une version plus récente de Windows ou de Windows Server dès que possible pour continuer de bénéficier d’applications fiables et stables.
Ceux qui ne peuvent pas mettre instantanément leur système à niveau peuvent limiter l’accès de leur système à Internet pour n’y exécuter que des tâches de confiance spécifiques tout en sauvegardant régulièrement leurs données importantes sur un support de stockage externe.
À noter que certains logiciels développés pour des versions plus anciennes de Windows peuvent ne pas s’exécuter correctement sur une version plus récente de Windows. C’est pourquoi il est essentiel de vérifier la compatibilité des logiciels avant de mettre à niveau le système d’exploitation.
Nous avons déjà déployé les identifiants Qualys (QID) en production pour des systèmes en fin de vie, qu’ils bénéficient ou non de mises à jour dans le cadre d’un support étendu (EUS). Il n’est donc pas nécessaire de procéder à de nouvelles mises à jour des signatures.
Voici la liste des identifiants QID utilisables :
105793 : Système d’exploitation en fin de vie/obsolète : Microsoft Windows 7 détecté
105858 : Système d’exploitation en fin de vie/obsolète : Microsoft Windows Server 2008 détecté
105859 : Système d’exploitation en fin de vie/obsolète : Microsoft Windows Server 2008 R2 détecté
Microsoft prévoit aussi de retirer ou de mettre fin au support d’autres produits en 2023. Une fois que ces produits auront atteint leur fin de leur vie ou de support, plus aucune mise à jour ne sera disponible. De même plus aucune option d’assistance gratuite ou payante ni mise à jour du contenu technique en ligne ne sera proposée.
Il est indispensable de noter que l’absence de mises à jour de sécurité et de support peut rendre vulnérable à des menaces de sécurité et à des vulnérabilités potentielles tout système et équipement utilisant ces produits devenus désuets. Il est donc crucial de passer sans délai à une version plus récente des produits concernés et/ou à des solutions alternatives pour continuer de bénéficier d’une sécurité et d’une stabilité permanentes.
Pour plus d’informations sur ces produits et sur le calendrier de fin de support, rendez-vous sur la page consacrée au cycle de vie Microsoft ici : https://learn.microsoft.com/en-us/l...
Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges (EoP), de divulgation d’information, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation.
Les vulnérabilités corrigées par Microsoft en janvier 2023 sont classées comme suit :
Vulnérabilités Microsoft importantes et critiques corrigées :
La vulnérabilité identifiée comme CVE-2023-21674 est une vulnérabilité d’élévation de privilèges dans l’appel de procédure locale avancée (ALPC - Advanced Local Procedure Call) de Windows. Des attaquants sont en train d’exploiter activement cette vulnérabilité pour obtenir des privilèges d’exécution au niveau Noyau et SYSTÈME. Ainsi, un attaquant local peut élever ses privilèges à partir de l’exécution en mode bac à sable au sein de Chromium. Les vulnérabilités de ce type sont fréquemment exploitées parallèlement à des attaques via des malware ou des ransomware. Cette vulnérabilité a été signalée à Microsoft par des chercheurs d’Avast, ce qui confirme un risque potentiel d’activité malveillante.
Récemment découverte et baptisée CVE-2023-21743, cette vulnérabilité affecte les fonctions de sécurité de Microsoft SharePoint Server et a donc été classée comme critique. Un attaquant distant non authentifié peut exploiter cette vulnérabilité pour lancer et établir une connexion anonyme au serveur SharePoint ciblé, ce qui lui permet de contourner les critères de sécurité. C’est pourquoi il est vivement recommandé que les administrateurs système agissent rapidement pour atténuer cette vulnérabilité et mettre à niveau le serveur SharePoint affecté en déployant la mise à jour fournie.
Désignée sous le nom de code CVE-2023-21763 et CVE-2023-21764, cette vulnérabilité qui affecte Microsoft Exchange Server a été identifiée comme une vulnérabilité d’élévation de privilèges. Elle se manifeste suite à une correction incorrecte d’un problème précédemment identifié désigné sous le nom CVE-2022-41123. En raison d’un chemin d’accès aux fichiers codé en dur, un attaquant local peut charger sa propre DLL et exécuter du code avec des privilèges de niveau SYSTÈME. Il est donc fortement recommandé aux utilisateurs qui effectuent des tests Exchange de déployer tous les correctifs Exchange nécessaires pour atténuer cette vulnérabilité.
Les vulnérabilités désignées sous le nom de code CVE-2023-21730, CVE-2023-21561 et CVE-2023-21551 dans les services cryptographiques de Microsoft ont été reconnues comme des vulnérabilités d’élévation de privilèges. Elles peuvent être exploitées par un attaquant authentifié localement qui envoie des données malveillantes à un service CSRSS local. Ce dernier peut donc élever ses privilèges depuis un environnement AppContainer jusqu’à un accès SYSTÈME.
Il est important de noter que ces bugs n’ont pas encore été divulgués publiquement et qu’ils ne font actuellement l’objet d’aucune exploitation connue en mode aveugle, ce qui rend la probabilité d’une exploitation réussie relativement faible. Il est cependant crucial de prendre toutes les mesures de protection nécessaires pour garantir la sécurité du système.
AppContainer étant considéré comme une frontière sécurisée, tout processus capable de contourner cette frontière entraîne un changement de dimension. En effet, l’attaquant qui parviendrait à exploiter ces vulnérabilités avec succès pourrait exécuter du code ou accéder à des ressources à un niveau d’intégrité supérieur à celui de l’environnement d’exécution AppContainer.
Pour exploiter cette vulnérabilité, l’attaquant doit disposer de certificats valides et pouvoir se connecter localement au système ciblé. Un attaquant qui parvient à exploiter cette vulnérabilité peut obtenir des privilèges SYSTÈME.
Ces vulnérabilités dans le protocole L2TP de Windows ont été identifiées comme des vulnérabilités d’exécution de code à distance.
Elles peuvent être exploitées par un attaquant non authentifié qui envoie une demande de connexion malveillante à un serveur d’accès distant (RAS). Ceci peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS. Il est important de préciser que pour réussir à exploiter ces vulnérabilités, l’attaquant doit lancer des actions supplémentaires pour préparer l’environnement ciblé et gagner une situation de compétition.
Même si ces vulnérabilités ont été découvertes et signalées, il n’y a actuellement aucune indication de leur exploitation active.
Ces vulnérabilités dans le protocole SSTP de Windows sont identifiées comme des vulnérabilités d’exécution de code à distance. Elles peuvent être exploitées par un attaquant qui envoie un paquet SSTP malveillant à un serveur SSTP. Ceci peut entraîner une exécution de code à distance côté serveur.
Il est important de noter que pour parvenir à exploiter ces vulnérabilités, l’attaquant doit gagner une situation de compétition. Même si Microsoft a attribué à cet exploit un niveau de complexité élevé en raison de cette contrainte, il est indispensable de s’appuyer sur autre chose que sur cette atténuation. Il est donc conseillé de déployer les patches. En outre, surveiller toute activité suspecte sur le système affecté et segmenter le réseau peut également contribuer à limiter l’impact potentiel d’une tentative d’exploitation.
Pour ce qui est de la plateforme SharePoint, deux correctifs sont disponibles pour les bugs d’exécution de code à distance, mais ils exigent tous les deux une authentification. Ces vulnérabilités peuvent cependant être exploitées par tout utilisateur disposant de permissions par défaut.
Plusieurs correctifs sont disponibles pour les vulnérabilités SQL. L’une d’entre elles est le pilote ODBC qui permet à un attaquant d’exécuter du code pour convaincre un utilisateur authentifié de se connecter à un serveur SQL malveillant via ODBC.
Il existe 14 correctifs pour les vulnérabilités découvertes dans le composant 3D Builder. Ces dernières peuvent être exploitées en ouvrant un fichier malveillant qui permet à l’attaquant d’exécuter du code en disposant des mêmes privilèges qu’un utilisateur authentifié. Il en va de même pour d’autres vulnérabilités liées à Visual Studio et Office, donc 2 dans Visio.
Ce mois-ci, 38 patches ont été publiés pour lutter contre les vulnérabilités d’élévation de privilèges (EoP). La plupart de ces bugs exigent qu’un attaquant exécute du code sur la machine cible pour élever ses privilèges, généralement jusqu’au niveau SYSTÈME.
Une vulnérabilité publiquement connue dans le service Poste de travail (Workstation) peut être exploitée à distance via l’appel de procédure à distance (RPC) et permettre à l’attaquant d’exécuter des fonctions RPC restreintes sur des systèmes ayant moins de 3,5 Go de RAM.
L’une des vulnérabilités d’élévation de privilèges dans Local Security Authority (LSA) entraîne une exécution de code dans le groupe gMSA (group Managed Service Account), ce qui constitue une exception à une élévation de privilèges SYSTÈME typique.
Le correctif pour Azure Service Fabric permet de corriger une vulnérabilité qui impacte les clusters Service Fabric orchestrés par Docker. Pour s’en protéger, vous devez mettre à jour manuellement votre Service Fabric et activer et configurer le drapeau « BlockAccessToWireServer » .
La vulnérabilité au sein du service de sauvegarde (Backup Service) peut entraîner une élévation de privilèges ou l’effacement de données, tout comme le bug dans Windows Defender.
Trois correctifs sont en cours de publication pour le spooler d’impression, une vulnérabilité qui a été rapportée par la NSA.
Ce mois-ci, sept vulnérabilités différentes qui ont été découvertes peuvent entraîner la divulgation de contenus de mémoire non spécifiés. Trois de ces bugs se trouvent dans le service cryptographique et peuvent provoquer la fuite de secrets cryptographiques Windows (« Windows cryptographic secrets »). En outre, une vulnérabilité dans BitLocker a été identifiée. Si elle est exploitée, elle peut permettre à un attaquant disposant d’un accès physique à un équipement d’accéder à des données chiffrées. Une vulnérabilité du même acabit a été découverte dans le SFB du gestionnaire de démarrage (Boot Manager) qui exige aussi un accès physique pour faciliter une exploitation. Enfin, un problème avec le serveur Smart Card Resource Management Server peut permettre à un attaquant d’accéder aux données associées aux clés FIDO disponibles sur le système affecté.
Ce mois-ci, plusieurs vulnérabilités de déni de service (DoS) ont été découvertes, mais les informations fournies par Microsoft ne sont pas assez claires pour évaluer toute l’étendue de ces vulnérabilités et si une exploitation réussie peut entraîner le panne d’un système ou la fermeture d’un service. Les vulnérabilités découvertes dans les services Netlogon et LDAP font l’objet d’une attention particulière car une attaque DoS réussie sur ces composants peut avoir un impact important sur l’activité des entreprises.
Les notes de publication de ce mois-ci concernent de nombreuses familles de produits Microsoft et produits/versions Microsoft qui sont affectés, y compris mais sans s’y limiter 3D Builder, Visual Studio Code, Windows Virtual Registry Provider, le gestionnaire Windows Local Session Manager (LSM), le pilote Windows Ancillary Function Driver pour WinSock, Windows Overlay Filter, des composants du spooler d’impression Windows, Microsoft Exchange Server, Windows Smart Card, Windows IKE Extension, le pilote Windows Remote Access Service L2TP Driver, le noyau Windows, Windows Management Instrumentation, le moteur Windows Backup Engine, Windows NTLM, Microsoft Office SharePoint, Microsoft Office Visio, le pilote Microsoft Bluetooth Driver, Microsoft Office, le pilote Windows Bind Filter Driver, le pilote Windows ODBC, les services cryptographiques Windows, le serveur Microsoft Local Security Authority Server (lsasrv), le gestionnaire Windows Credential Manager, l’outil Windows Malicious Software Removal Tool, la bibliothèque Windows DWM Core Library, le protocole Windows Point-to-Point Tunneling Protocol, Microsoft WDAC OLE DB provider pour SQL, le composant Microsoft Graphics Component, le protocole Windows Layer 2 Tunneling Protocol, le protocole Windows LDAP (Lightweight Directory Access Protocol), Windows ALPC, Windows BitLocker, le gestionnaire de démarrage Windows Boot Manager, Windows Error Reporting, Windows Workstation Service, le protocole Windows Secure Socket Tunneling Protocol (SSTP), le protocole Windows Internet Key Exchange (IKE) Protocol, Windows Installer, Windows Task Scheduler, Windows Authentication Methods, .NET Core, Microsoft Message Queuing, Windows Event Tracing, Azure Service Fabric Container, Windows iSCSI, la Windows RPC API, Windows Local Security Authority (LSA) et les certificats Windows.
