Après Log4j, le Patch Tuesday de décembre met la pression

Microsoft a publié sa mise à jour mensuelle Patch Tuesday conformément à son calendrier le 14 novembre, et avec les équipes de sécurité évaluant toujours les retombées de la vulnérabilité Log4Shell Apache Log4j (CVE-2021-44228) – probablement la divulgation de sécurité la plus percutante depuis Heartbleed – les défenseurs subissent une pression croissante et risquent de s’épuiser.

La mise à jour de décembre de Microsoft comprenait des correctifs pour 67 vulnérabilités et expositions communes uniques (CVE), sept d’entre elles étant jugées critiques, six étant déjà activement exploitées, y compris un jour zéro qui est utilisé pour diffuser l’Emotet nouvellement revigoré.

Mais avec les dernières 24 heures qui ont également vu des baisses de correctifs d’Adobe, Apple, Cisco, Google Chrome, SAP et VMware, Calvin Gan de l’unité de défense tactique de F-Secure a déclaré qu’il y avait un risque clair que les équipes de sécurité soient maintenant dépassées.

« Les défenseurs luttent contre le temps pour corriger les systèmes affectés, ce qui n’est pas aussi direct que la simple mise à niveau, tout en repoussant les tentatives d’exploitation qui ont augmenté ces derniers jours », a déclaré Gan.

« La facilité d’exécution du [Log4j] l’exploitation signifiait que le temps de correction a été considérablement plus court, combiné aux différentes tentatives d’analyse de masse sur Internet par diverses entités, ce qui rend beaucoup plus difficile pour les défenseurs de passer au peigne fin les journaux et d’identifier les violations potentielles.

« Bien que l’impact total soit actuellement inconnu, il est prévu que les organisations devront engager toutes les ressources disponibles et faire des heures supplémentaires pour atténuer cette vulnérabilité, tout en bloquant les attaques potentielles. »

Chris Goettl d’Ivanti a ajouté : «Attendez-vous à ce que beaucoup d’attention soit concentrée sur les fournisseurs qui se démènent pour résoudre les problèmes liés à Log4j, mais cela dit, ne perdez pas de vue les mises à jour de correctifs supplémentaires de Microsoft.

« Les efforts visant à identifier, atténuer ou corriger la vulnérabilité Apache Log4j se poursuivent. Dans ce cas, cela laisse beaucoup d’équipes frustrées, ne sachant pas exactement ce qu’elles doivent faire. Le meilleur conseil est de continuer à vous appuyer sur vos processus DevSecOps et l’analyse des vulnérabilités, et de compléter cela par une action plus directe, car il y aura probablement des lacunes pendant un certain temps dans la détection.

Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs, a déclaré: « Je m’attends à ce que de nombreuses équipes de sécurité soient fortement investies dans une résolution Log4j , mais cela n’empêche pas le monde de tourner. Comme toujours, vous connaissez vos risques et votre succession, vous devez donc prendre des correctifs et mettre à jour les décisions en conséquence. Respirez, regardez la version de Microsoft et hiérarchisez ou dépriorisez en conséquence.

Parmi les 67 CVE Microsoft, le plus digne d’attention immédiate est probablement CVE-2021-43890. Il s’agit du zero-day mentionné ci-dessus, une vulnérabilité d’usurpation dans Windows AppX Installer qui, selon Microsoft, a été utilisée pour propager des logiciels malveillants dans la famille Emotet / Trickbot / Bazarloader.

Dustin Childs de la Zero Day Initiative a expliqué : « Un attaquant aurait besoin de créer une pièce jointe malveillante à utiliser dans des campagnes de phishing. L’attaquant devrait alors convaincre l’utilisateur d’ouvrir la pièce jointe spécialement conçue. Il semble que l’exécution de code se produirait au niveau de l’utilisateur connecté, de sorte que les attaquants combineraient probablement cela avec un autre bogue pour prendre le contrôle d’un système.

CVE-2021-43883, une vulnérabilité d’élévation de privilèges dans Windows Installer, qui est quelque peu inhabituelle en ce sens qu’il semble être un correctif pour un contournement d’un bogue qui a déjà été corrigé en novembre – CVE-2021-41379, attire également l’attention ce mois-ci. Caitlin Condon, responsable de l’ingénierie chez Rapid7, a expliqué : « Bien qu’il n’y ait aucune indication dans l’avis que les deux vulnérabilités sont liées, CVE-2021-43883 ressemble beaucoup au correctif pour une vulnérabilité zero-day qui a fait sensation dans la communauté de la sécurité le mois dernier après la publication du code d’exploitation de preuve de concept et le début des attaques dans la nature.

« La vulnérabilité zero-day, dont les chercheurs ont émis l’hypothèse qu’il s’agissait d’un contournement de correctif pour CVE-2021-41379, a permis à des attaquants à faible privilège d’écraser des fichiers protégés et de passer à SYSTEM. L’équipe de recherche sur les vulnérabilités de Rapid7 a effectué une analyse complète des causes profondes du bogue alors que les attaques s’intensifiaient en novembre.

Les autres vulnérabilités critiques de la mise à jour Microsoft sont toutes des vulnérabilités d’exécution de code à distance (RCE). Il s’agit de CVE-2021-42310 dans Microsoft Defender pour IoT, CVE-2021-43215 dans iSNS Server, CVE-2021-43217 dans Windows Encrypting File System, CVE-2021-43233 dans Remote Desktop Client, CVE-2021-43899 dans Microsoft 4K Wireless Display Adapter, CVE-2021-43905 dans Microsoft Office App et CVE-2021-43907 dans Visual Studio Code WSL Extension.