Microsoft Patch Tuesday – Octobre 2020, 87 failles patchées

Microsoft a déployé des correctifs pour 87 failles de sécurité en Octobre – dont 11 critiques – et l’une d’entre elle peut également être exploitée par des vers informatique.

Il y’avait également six failles qui n’étaient pas corrigés auparavant par Microsoft mais qui ont été divulgués publiquement, ce qui pouvait donner une longueur d’avance aux cybercriminels – et en fait, au moins un exploit public circule déjà pour ce groupe de vulnérabilités.

Dans l’ensemble, le Microsoft Patch Tuesday de ce mois-ci inclut des correctifs pour les failles dans Microsoft Windows, Office et Office Services et Web Apps, Azure Functions, Open Source Software, Exchange Server, Visual Studio, .NET Framework, Microsoft Dynamics et la bibliothèque de codecs Windows.

75 vulnérabilités sont répertoriées comme importantes par Microsoft, et une seule est répertoriée comme étant de gravité modérée. Aucun n’est répertorié comme faisant l’objet d’une attaque active, mis à part le groupe de six failles connues mais non corrigées avant les mises à jour régulières de ce mois d’Octobre.

“Comme d’habitude, dans la mesure du possible, il est préférable de prioriser les mises à jour par rapport au système d’exploitation Windows”, a déclaré Richard Tsang, ingénieur logiciel senior chez Rapid7. «En abordant 53 des 87 vulnérabilités, le patch du système d’exploitation élimine 60% des vulnérabilités répertoriées, ainsi que plus de la moitié des vulnérabilités critiques d’exécution de code à distance résolues aujourd’hui.»

11 failles critiques corrigées par Microsoft

L’une des failles critiques les plus notables, selon les chercheurs, est un problème d’exécution de code à distance (RCE) dans la pile TCP/IP. Cette faille (CVE-2020-16898) permet aux attaquants d’exécuter du code arbitraire avec des privilèges élevés à l’aide d’une publicité de routeur ICMPv6 spécialement conçue.

Microsoft attribue à cette faille sa note d’exploitabilité la plus élevée, ce qui signifie que les attaques dans la nature sont extrêmement probables – et en tant que tel, la note de gravité est de 9,8 sur 10 sur l’échelle de vulnérabilité CvSS.

«Si vous utilisez un réseau IPv6, vous savez que filtrer les publicités des routeurs n’est pas une solution pratique», a déclaré Dustin Childs, chercheur chez Zero-Day Initiative (ZDI) de Trend Micro, dans son analyse du Microsoft Patch Tuesday. «Vous devez absolument tester et déployer ce correctif dès que possible.»

Bharat Jogi, directeur principal de la recherche sur la vulnérabilité et les menaces chez Qualys, a déclaré qu’un exploit de la faille pourrait se propager automatiquement, comme un ver à travers l’infrastructure sans interaction de l’utilisateur du produit Microsoft.

«Un attaquant peut exploiter cette vulnérabilité sans aucune authentification, et elle est potentiellement vermifuge», a-t-il déclaré. «Nous prévoyons qu’une preuve de concept (PoC) pour cet exploit sera bientôt abandonnée, et nous encourageons vivement tout le monde à corriger cette vulnérabilité dès que possible.»

«Heureusement, si les correctifs immédiats ne sont pas viables en raison de la planification du redémarrage, Microsoft fournit des commandes PowerShell pour désactiver ICMPv6 RDNSS sur les systèmes d’exploitation concernés», a déclaré Tsang. “La commande PowerShell netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = disable ne nécessite pas de redémarrage pour prendre effet. “

Une autre des failles critiques est une faille d’exécution de code à distance dans Microsoft Outlook (CVE-2020-16947). La faille peut être déclenché en envoyant un e-mail spécialement conçu à une cible et comme le volet de prévisualisation est un vecteur d’attaque, les victimes n’ont pas besoin d’ouvrir l’e-mail pour être infectées (ZDI a déjà une preuve de concept pour cela). Elle peut également être exploitée dans une attaque Web en convaincant les utilisateurs de visiter une URL malveillante hébergeant du contenu déclenchant.

«La faille spécifique existe dans l’analyse du contenu HTML dans un e-mail. Le problème résulte du manque de validation appropriée de la longueur des données fournies par l’utilisateur avant de les copier dans un tampon sur un tas de longueur fixe », selon Childs. Cette faille a une note de 8,1 sur l’échelle CvSS.

Une faille critique de Windows Hyper-V RCE (CVE-2020-16891, 8.8 sur l’échelle CvSS) permet à un attaquant d’exécuter un programme spécialement conçu sur un système d’exploitation hôte affecté et d’exécuter du code arbitraire sur le système d’exploitation hôte.

Et d’autres problèmes critiques ont un impact sur le codec de la caméra Windows (CVE-2020-16967 et CVE-2020-16968, note dde 7,8 sur l’échelle CvSS pour les 2), tous deux résultant du manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner une écriture au-delà de la fin d’un tampon alloué.

«Si l’utilisateur actuel est connecté avec des droits d’administrateur, un attaquant pourrait prendre le contrôle du système affecté», selon Microsoft. «Un attaquant pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou créez de nouveaux comptes avec tous les droits d’utilisateur. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourraient être moins touchés que les utilisateurs qui opèrent avec des droits d’administrateur. »

microsoft

Deux autres failles critiques sont des problèmes de d’exécution de code à distance dans SharePoint Server (CVE-2020-16951 et CVE-2020-16952, note de 8.6 sur l’échelle CvSS pour les 2). Ils exploitent une lacune dans la vérification du balisage source d’un package d’application. En cas d’exploitation réussie, l’attaquant pourrait exécuter du code arbitraire dans le contexte des applications SharePoint ou des comptes sur les serveurs.

«Dans les deux cas, l’attaquant devra télécharger un package d’application SharePoint spécialement conçu sur une version affectée de SharePoint pour obtenir l’exécution de code arbitraire», a expliqué Childs. “Cela peut être accompli par un utilisateur SharePoint non privilégié si la configuration du serveur le permet.”

Tsang a ajouté que les preuves de concept «commencent à se répandre dans la nature, il est donc indispensable de mettre un terme à cette paire de vulnérabilités critiques d’exécution de code à distance».

Les failles critiques restantes sont des problèmes d’exécution de code à distance dans Media Foundation Library (CVE-2020-16915, note 7,8), le moteur de rendu Base3D (CVE-2020-17003, note 7,8), les composants graphiques (CVE-2020-16923, note 7,8) et l’interface de périphérique graphique Windows (GDI) (CVE-2020-16911, note 8,8).

Concernant ce dernier, la vulnérabilité se trouve dans la manière dont GDI traite les objets en mémoire, selon Allan Liska, architecte de sécurité senior chez Recorded Future.

Une exploitation réussie pourrait permettre à un attaquant de prendre le contrôle du système concerné avec les mêmes privilèges administratifs que la victime. Cette vulnérabilité pourrait être exploitée en incitant une victime à visiter un site Web compromis avec un document spécialement conçu ou en ouvrant un document spécialement conçu via une attaque d’hameçonnage.

Le facteur atténuant ici est que les utilisateurs disposant de moins de privilèges sur le système pourraient être moins touchés, mais souligne tout de même l’importance d’une bonne hygiène de sécurité car l’exploitation nécessite de convaincre un utilisateur d’ouvrir un fichier spécialement conçu ou d’afficher le contenu contrôlé par l’attaquant. Contrairement à CVE-2020-16898, cependant, cette vulnérabilité affecte toutes les versions prises en charge du système d’exploitation Windows, ce qui peut suggérer d’affecter également les versions non prises en charge/antérieures de Windows. »

6 failles de produits Microsoft déjà connues du public

Il existe également une demi-douzaine de vulnérabilités qui n’ont pas été corrigées jusqu’à ce mois-ci, mais qui étaient publiquement connues.

«La divulgation publique peut signifier plusieurs choses», a déclaré Todd Schell, chef de produit principal de la sécurité chez Ivanti. «Il se peut qu’une démonstration d’exploit ait été réalisée lors d’un événement ou par un chercheur. Cela pourrait également signifier qu’un code de preuve de concept a été rendu disponible. »

En ce qui concerne ces failles connues du public, un problème d’élévation de privilège Windows Error Reporting (WER) (CVE-2020-16909) se démarque, selon Childs, étant donné que des vulnérabilités dans le composant WER ont été récemment signalés comme étant utilisés dans des attaques sans fichier.

Microsoft Patch Tuesday Octobre

Quant aux autres, deux sont des failles d’élévation de privilège dans le composant Windows Setup et le pilote Windows Storage VSP, deux autres sont des problèmes de divulgation d’informations dans le noyau et l’une est un problème de divulgation d’informations dans .NET Framework.

«Ces failles de divulgation d’informations exposent le contenu de la mémoire du noyau mais n’incluent aucune information personnellement identifiable», a déclaré Childs.

L’une des failles de divulgation d’informations, CVE-2020-16938, a maintenant un exploit qui a été partagé sur Twitter par @jonasLyk. Il a affirmé qu’une «mise à jour récente a changé les autorisations sur les partitions et les objets de périphérique de volume, accordant à tout le monde un accès en lecture. Cela signifie qu’en ouvrant directement le périphérique, vous pouvez lire les données brutes sans aucun [privilège]. »

Alors que des exploits émergent déjà, Schell a souligné qu ‘«une divulgation publique signifie que les acteurs de la menace sont averti à l’avance d’une vulnérabilité et cela leur donne un avantage». En fait, le temps moyen pour exploiter une vulnérabilité à partir du moment de sa divulgation est de 22 jours, selon une étude de recherche de l’Institut RAND.

Dans l’ensemble, ces 87 correctifs sont un changement significatif comparé aux plus de 110 correctifs que le géant du logiciel publie chaque mois depuis Mars 2020.

«Les équipes de sécurité font le nécessaire pour réduire l’exposition à CVE-2020-1472 (Zerologon), et le Patch Tuesday apporte heureusement une charge légèrement allégée de vulnérabilités par rapport aux sept mois précédents, sans aucune vulnérabilité actuellement connue pour être exploitée», a déclaré Jonathan Cran, responsable de la recherche chez Kenna Security. «Cela dit, plusieurs des vulnérabilités de cette mise à jour doivent être traitées en priorité en raison de leur utilité pour les attaquants [les failles critiques dans la pile Win10 IPv6, Outlook et Hyper-V]. Ces vulnérabilités tombent toutes dans la catégorie «patcher rapidement ou surveiller de près».

Il faut aussi noté que certains produits Microsoft étaient absents de la liste des correctifs.

«Il y a quelques choses d’intéressant ce mois-ci», a déclaré Schell. «Aucune vulnérabilité de navigateur n’est en cours de résolution. Au moment de la publication, Microsoft n’avait signalé aucun CVE pour IE ou Edge et aucune liste des navigateurs comme produits concernés ce mois-ci. Je ne suis pas sûr de me souvenir de la dernière fois que cela s’est produit.”

Si cet article vous a plu, jetez un œil au Microsoft Patch Tuesday du mois dernier.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x