Microsoft Patch Tuesday – Novembre 2020: 17 failles critiques

Le tour d’horizon des correctifs de sécurité du patch de novembre de Microsoft a abordé un nombre inhabituellement important de failles d’exécution de code à distance. 12 des 17 correctifs critiques de Microsoft étaient liés à des failles d’exécution de code à distance. Au total, 112 vulnérabilités ont été corrigées par Microsoft, dont 93 jugées importantes et deux de faible gravité.

Identifiée comme CVE-2020-17087, la vulnérabilité d’élévation locale de privilèges du noyau Windows a été signalée par Microsoft comme étant activement exploitée dans la nature. La semaine dernière, la faille a été divulguée par Google Project Zero, qui a signalé que la faille était exploitée dans la nature aux côtés d’une faille de Google Chrome (CVE-2020-15999) qui avait été corrigée le 20 octobre.

Microsoft a évalué la vulnérabilité (CVE-2020-17087) comme importante en termes de gravité, probablement parce qu’un attaquant intéressé par l’exploitation de la faille aurait besoin d’avoir un accès physique aux différentes installations de Windows Server, Windows 10/RT/8.1/7 sont impactées par la faille. Selon Google, la faille est causée par la façon dont le pilote de cryptographie du noyau Windows (cng.sys) traite le contrôle d’entrée/sortie (IOCTL) d’une manière qui ne peut pas être exprimée par des appels système réguliers.

Plus sévère

«L’une des vulnérabilités les plus critiques corrigées est CVE-2020-17051, une vulnérabilité d’exécution de code à distance trouvée dans le système de fichiers réseau (NFS) de Windows», a écrit Chris Hass, directeur de la sécurité de l’information et de la recherche chez Automox, dans son analyse du Patch Tuesday.

Il a expliqué que la faille est particulièrement préoccupante «parce que NFS de Windows est essentiellement un système client/serveur qui permet aux utilisateurs d’accéder aux fichiers sur un réseau et de les traiter comme s’ils résidaient dans un répertoire de fichiers local».

«Comme vous pouvez l’imaginer, avec les fonctionnalités offertes par ce service, les attaquants en profitent depuis longtemps pour accéder aux systèmes critiques. Il ne faudra pas longtemps avant de voir la numérisation du port 2049 augmenter au cours des prochains jours, avec une exploitation dans la nature susceptible de suivre », a-t-il écrit.

microsoft

Les chercheurs d’Automox ont également suggéré aux administrateurs système de donner la priorité aux correctifs pour une paire de vulnérabilités critiques de corruption de la mémoire dans le moteur de script de Microsoft et Internet Explorer. Les deux failles (CVE-2020-17052, CVE-2020-17053) pourraient conduire à l’exécution de code à distance.

«Un scénario d’attaque probable serait d’intégrer un lien malveillant dans un e-mail d’hameçonnage sur lequel la victime cliquera pour conduire à une page de destination compromise hébergeant l’exploit», a écrit Hass.

Descriptions supprimées du bulletin du Microsoft Patch Tuesday

Pour de nombreux vétérans du Patch-Tuesday, cela ne passera pas inaperçu qu’à partir du bulletin de Novembre, Microsoft a supprimé la section de description des CVE. Cette nouvelle approche a été annoncée par le Microsoft Security Response Center. Cela veut dire une plus grande dépendance au système standard de notation de vulnérabilité commune (CVSS) pour fournir des informations de vulnérabilité plus générales pour les bulletins de sécurité Patch Tuesday.

« C’est une méthode précise qui décrit la vulnérabilité avec des attributs tels que le vecteur d’attaque, la complexité de l’attaque, si un adversaire a besoin de certains privilèges, etc. », a écrit Microsoft.

microsoft

Pour Dustin Childs de Zero Day Initiative, la nouvelle approche a du sens. Il a dit, dans de nombreux cas, «un CVSS précis est vraiment tout ce dont vous avez besoin. Après tout, vous ne pouvez pas dire grand chose à propos d’une autre faille de script intersite (XSS) SharePoint ou d’une élévation de privilèges locale qui vous oblige à vous connecter et à exécuter un programme spécialement conçu. Cependant, CVSS lui-même n’est pas sans faille. »

Le directeur de la sécurité de Tenable, Bob Huber, n’était pas aussi généreux.

«La décision de Microsoft de supprimer les informations de description CVE de son Patch Tuesday est une mauvaise décision, pure et simple. En se basant uniquement sur les évaluations CVSSv3, Microsoft élimine une tonne de données de vulnérabilité précieuses qui peuvent aider à informer les organisations du risque commercial qu’une faille particulière leur pose », écrit-il.

Il a fait valoir que le nouveau format était un coup dur pour la sécurité et une aubaine pour les adversaires. «Les utilisateurs finaux [seront] complètement aveugles à l’impact d’une CVE particulière. De plus, il est pratiquement impossible de déterminer l’urgence d’un correctif donné. Il est difficile de comprendre les avantages pour les utilisateurs finaux. « 

Huber a ajouté: «Cependant, il n’est pas trop difficile de voir comment ce nouveau format profite aux individus malveillants. Ils procéderont à l’ingénierie inverse des correctifs et, étant donné que Microsoft ne sera pas explicite sur les détails de la vulnérabilité, l’avantage va aux attaquants, pas aux défenseurs. Sans le contexte approprié pour ces CVE, il devient de plus en plus difficile pour les défenseurs de prioriser leurs efforts de remédiation. »

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x