Microsoft publie des mises à jour pour l'OS Windows, Office et O365, Exchange Server, Edge (Chromium), Visual Studio, Azure DevOps, Azure AD Web Sign-in, Azure Sphere, ainsi que de nombreux autres composants. Un total de 110 vulnérabilités uniques sont résolues ce mois-ci, notamment une vulnérabilité Zero Day (CVE-2021-28310) et quatre vulnérabilités divulguées publiquement (CVE-2021-28458, CVE-2021-28437, CVE-2021-28312, CVE-2021-27091). 19 de ces CVE sont classées « Critique », mais cela n'inclut pas la vulnérabilité Zero Day Win32k.

Publications Microsoft

Zero Day : Microsoft résout une vulnérabilité Win32k classée Important, qui peut permettre l'élévation de privilèges sur les systèmes Windows 10 (CVE-2021-28310). Même si elle est seulement de niveau « Important », cette vulnérabilité a été détectée lors d'attaques en environnement réel. Le site de détails des exploitations Open Source attackerkb.com montre cette CVE comme réservée et mise à jour pour la dernière fois le 12 mars 2021. Elle pourrait donc avoir été exploitée par des pirates depuis un mois, à ce jour. Cela montre à quel point il est important d'adopter une approche qui définit des priorités sur la base des risques. Si vous établissez votre ordre de priorité sur le niveau de gravité attribué par le fournisseur et que vous ne tenez compte que des CVE marquées « Critique », vous risquez de manquer celle-ci. Heureusement pour les entreprises concernées, cette CVE est incluse dans la mise à jour cumulative Windows 10 ce mois-ci (aux côtés de CVE critiques). L'élargissement de vos mesures de définition des priorités pour inclure des métadonnées de risques (comme le nombre d'exploitations, de divulgations publiques et autres indicateurs) garantit que vous donnez la priorité aux meilleures mises à jour pour les corriger rapidement.

Divulgations publiques : Il existe une vulnérabilité dans Windows Installer, susceptible de mener à la divulgation d'informations : CVE-2021-28437. Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette CVE affecte tous les systèmes d'exploitation Windows, en remontant jusqu'à Windows 7 et Server 2008. Les vulnérabilités de divulgation d'informations Windows Installer permettent souvent à un pirate d'obtenir un accès à des informations supplémentaires, qui risquent de compromettre encore davantage le système. Il s'agit d'une CVE de catégorie « Important ». Le code d'exploitation était marqué non prouvé lors de la publication.

Divulgations publiques : Il existe dans le service de mappage de poste client RPC une vulnérabilité susceptible de permettre à un pirate d'élever ses privilèges (CVE-2021-27091). Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette CVE affecte les systèmes Windows 7, Server 2008 R2 et Server 2012 les plus anciens. Cette CVE est classée « Important », mais l'on dispose d'un code POC (Proof of Concept - Validation de principe) qui pourrait permettre à un pirate de développer rapidement une exploitation fonctionnelle.

Divulgations publiques : Une vulnérabilité d'élévation des privilèges a été identifiée dans la bibliothèque Azure ms-rest-nodeauth (CVE-2021-28458). Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette vulnérabilité a été classée « Important ». Au moment où nous écrivons, aucun autre article ou note de publication n'est lié à cette CVE.

Divulgations publiques : Il existe une vulnérabilité dans Windows NTFS, susceptible de permettre une attaque par déni de service CVE-2021-28312. Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette CVE affecte Windows 10 1809, et Server 2019 et supérieur. Cette CVE est seulement considérée comme modérée, mais un code d'exploitation entièrement fonctionnel est disponible. Vous devez traiter cette CVE comme représentant davantage de risques que ne l'implique son niveau de gravité.

Exchange Server : Microsoft Exchange Server bénéficie d'une autre mise à jour ce mois-ci et, d'après les résultats Pwn2Own, il y en aura sans doute d'autres. Les quatre CVE résolues ce mois-ci ont toutes été découvertes par la NSA. Ces quatre CVE sont toutes de niveau « Critique ». À ce jour, aucune n'a fait l'objet d'une exploitation prouvée, mais, après un regain d'activité des exploitations graves visant Microsoft Exchange, l'on peut s'attendre à ce que, si les analystes de sécurité de la NSA trouvent de nouvelles vulnérabilités et que les chercheurs prouvent l'existence de nouvelles exploitations dans le secteur Pwn2Own, les pirates vont aussi tourner autour de Microsoft Exchange pour trouver des failles à exploiter.

Peu d'activité ce mois-ci concernant les mises à jour tierces

Ce mois-ci, Adobe publie quatre mises à jour pour Photoshop, Digital Editions, Bridge et Robohelp, toutes classées Priorité 3. Ces quatre mises à jour résolvent un total de 10 CVE. Toutes, sauf la mise à jour RoboHelp, incluent des CVE critiques.

Le raisonnement sous-jacent pour la définition des priorités Adobe est le suivant : cette mise à jour résout des vulnérabilités dans un produit qui n'a jamais été une cible pour les pirates dans le passé. Adobe recommande aux administrateurs d'installer cette mise à jour, à leur seule discrétion.

C'est l'une des difficultés des scores de gravité attribués par les fournisseurs : comme ces applications sont moins susceptibles d'être ciblées par les pirates, Adobe attribue à leurs vulnérabilités un niveau de priorité plus faible, quels que soient le nombre de vulnérabilités résolues et le danger que représentent ces vulnérabilités. Même si l'histoire justifie l'approche d'Adobe, cela n'exclut pas les risques. Au fil des années, jusqu'à neuf CVE Photoshop ont été exploitées. Les plus récentes sont les CVE de 2015. Parmi ces quatre mises à jour, Photoshop présente le plus de risques. Mais elles ont toutes un niveau de risque faible et peuvent être appliquées au cours des sessions de maintenance régulières.

Priorités ce mois-ci :

De nombreuses vulnérabilités sont résolues ce mois-ci. La bonne nouvelle, c'est que la plupart concernent l'OS, y compris la Zero Day et trois des quatre vulnérabilités divulguées publiquement. En traitant rapidement l'OS, vous éliminerez une bonne partie des risques du mois. Vos principales priorités ce mois-ci doivent être l'OS Windows, Edge (Chromium) et Exchange Server.

Restez vigilant

Le challenge Pwn2Own du projet Zero Day Initiative s'est terminé la semaine dernière. Les conséquences de cet événement devraient se produire dans les 90 jours qui suivent, car les fournisseurs disposent de ce délai pour traiter les vulnérabilités exploitées pendant l'événement avant qu'elles ne deviennent publiques. Comme cela va donner lieu à des publications dans les mois à venir, vous devez les surveiller et les résoudre le plus rapidement possible. Produits concernés :

  • Zoom : Il s'agit probablement de l'exploitation la plus vicieuse signalée lors de la compétition. Il suffit pour exploiter la vulnérabilité qu'un utilisateur participe à une réunion. Aucune autre opération de la part de l'utilisateur n'est nécessaire. Zoom signale qu'il a déjà apporté des changements côté serveur pour limiter cette vulnérabilité, mais l'on s'attend à ce qu'il effectue d'autres modifications pour mieux se protéger de cette attaque.
  • Microsoft Exchange a été entièrement submergé par une combinaison de contournement de l'authentification et d'escalade des privilèges locaux. Attendez-vous à un correctif pour Exchange Server et sans doute pour l'OS dans les mois à venir, pour corriger cette vulnérabilité. Avec les récentes attaques Zero Day visant Exchange Server, Microsoft va sûrement réagir très rapidement... et les pirates réagiront sans doute eux aussi pour reprendre l'avantage.
  • Microsoft Teams a été visé par l'exploitation d'une paire de vulnérabilités permettant aux chercheurs d'exploiter du code dans Microsoft Teams.
  • Comme toujours, les navigateurs sont des cibles de choix. Prévoyez des mises à jour de sécurité pour Chrome et Microsoft Edge (Chromium) avec le moteur JavaScript v8, et pour un débordement d'entier dans Safari, qui permet une écriture hors limites en vue d'obtenir l'exécution de code de niveau noyau.
  • Parallels Desktop a souvent été ciblé dans la catégorie Virtualisation, et deux exploitations incluant de multiples failles ont réussi.
  • Concernant les systèmes d'exploitation, Windows 10 et Ubuntu ont tous deux été exploités avec succès, les deux fois pour escalader les privilèges : d'utilisateur à Système sous Win 10 et d'Utilisateur standard à root pour Ubuntu.