Microsoft a abandonné la dernière mise à jour du Patch Tuesday – du moins dans sa forme actuelle – hier soir, mais les chercheurs en sécurité expriment des préoccupations croissantes quant au fait que le Microsoft Security Response Center (MSRC) laisse tomber la balle à plusieurs reprises lorsqu’il s’agit de gérer les divulgations de manière appropriée.
Hier, Computer Weekly et d’autres ont rapporté l’expérience de Tzah Pahima, un chercheur en sécurité Orca, qui a attendu près de six mois – et a cassé deux correctifs distincts – avant que Microsoft ne scelle une vulnérabilité critique dans Azure Synapse Analytics.
Dans le même temps, notre SearchSecurity.com de titre sœur a révélé que les chercheurs de Tenable étaient également insatisfaits de la réponse de Microsoft à la divulgation de deux vulnérabilités – par coïncidence également dans Azure Synapse. Ils ont accusé Microsoft de manquer de transparence dans son processus de signalement.
Par le biais de commentaires envoyés par e-mail, Claire Tills, ingénieure de recherche principale chez Tenable, a déclaré à Computer Weekly : « Au sujet de la tendance troublante de Microsoft à rejeter les problèmes de sécurité légitimes, jimi Sebree, chercheur chez Tenable, a découvert et divulgué deux vulnérabilités dans Azure Synapse Analytics de Microsoft, dont l’une a été corrigée et l’autre non. Aucune de ces vulnérabilités n’a reçu de numéro CVE ou n’a été documentée dans le guide de mise à jour de sécurité de Microsoft pour le mois de juin.
Sebree a parlé d’une « déconnexion majeure des communications » entre MSRC et l’équipe responsable d’Azure Synapse.
Les préoccupations des chercheurs prennent un sentiment d’urgence supplémentaire compte tenu de la réponse bien documentée de Microsoft à CVE-2022-30190, le jour zéro connu sous le nom de Follina, qui a été découvert fin mai.
Selon le pirate anonyme qui l’a découvert, un membre du collectif de chasse aux menaces Shadow Chaser qui passe par le pseudonyme Crazyman, MSRC a rejeté Follina, une vulnérabilité zéro clic dans Microsoft Office qui permet à un attaquant d’exécuter des commandes PowerShell sans interaction de l’utilisateur, a fermé le ticket de Crazyman et a déclaré qu’il ne s’agissait « pas d’un problème lié à la sécurité ». Étant un jour zéro, cela s’est avéré être manifestement pas le cas en peu de temps.
Computer Weekly a contacté Microsoft pour lui poser des questions sur ses procédures de divulgation, mais n’avait pas reçu de réponse au moment de la publication.
L’aventure finale corrige la folie Follina
Heureusement pour les craintifs de Follina, la vulnérabilité a en effet été corrigée dans la dernière mise à jour patch tuesday, l’une des 61 vulnérabilités uniques, et la seule zero-day à avoir fait l’objet d’une exploitation active. Cependant, selon Todd Schell d’Ivanti, il pourrait s’agir d’un ajout quelque peu précipité à la liste.
« Cette vulnérabilité est attaquée depuis plusieurs mois.Cette vulnérabilitéLe correctif a dû être un ajout tardif ce mois-ci, car bien qu’il apparaisse dans la liste des vulnérabilités du Guide de sécurité, il n’était pas indiqué dans la ventilation des CVE pour chaque correctif », a déclaré Schell.
Certaines des autres vulnérabilités les plus percutantes traitées dans le chant du cygne du Patch Tuesday sont CVE-2022-30137, une vulnérabilité d’exécution de code à distance (RCE) dans le système de fichiers réseau Windows, qui porte un score CVSS vertigineux de 9,8, mais peut être considérée comme plus difficile à exploiter car un attaquant doit généralement déjà disposer d’un accès réseau pour en tirer parti.
Il convient également de noter CVE-2022-30157 et CVE-2022-30158, deux vulnérabilités RCE dans Microsoft SharePoint Server, qui nécessitent à nouveau qu’un attaquant ait établi un accès initial à l’exploit.
CVE 2022-30147, une vulnérabilité d’escalade de privilèges dans Windows Installer affectant à la fois les environnements de bureau et de serveur, qui pourrait s’avérer utile aux attaquants cherchant à obtenir des privilèges d’administrateur pour, par exemple, exfiltrer des données avant de déployer un ransomware.
« Une vulnérabilité d’exécution de code à distance dans Hyper-V semble effrayante lorsque vous considérez que, s’il est exploité, un attaquant pourrait passer d’une machine virtuelle invitée à l’hôte, accédant à toutes les machines virtuelles en cours d’exécution. Cependant, Microsoft a marqué cette vulnérabilité comme moins susceptible d’être exploitée .
Kev Breen, Laboratoires immersifs
Les équipes de sécurité peuvent également souhaiter donner la priorité à CVE-2022-30163, une vulnérabilité RCE dans Windows Hyper-V. Kev Breen d’Immersive Labs a commenté : « Une vulnérabilité d’exécution de code à distance dans Hyper-V semble effrayante lorsque l’on considère que, s’il est exploité, un attaquant pourrait passer d’une machine virtuelle invitée à l’hôte, accédant à toutes les machines virtuelles en cours d’exécution.
Cependant, Microsoft a marqué cette vulnérabilité comme moins susceptible d’être exploitée. C’est probablement parce que la complexité est élevée et nécessite un attaquant pour gagner une condition de course. Qu’est-ce que tL’état du chapeau est, n’est pas divulgué. Celui-ci sera d’une grande valeur pour les attaquants si une méthode d’exploitation facile est découverte.
Pendant ce temps, Allan Liska de Recorded Future a réfléchi à près de deux décennies d’histoire du Patch Tuesday. Il a dit : «Le premier Patch Tuesday est sorti le 14 octobre 2003. Patch Tuesday a été conçu à l’origine comme un moyen pour Microsoft de publier tous ses correctifs en même temps et Tuesday a été choisi parce qu’il donnait aux administrateurs système le temps d’examiner et de tester les correctifs, puis de les installer avant le week-end.
« Le premier Patch Tuesday comportait cinq vulnérabilités qualifiées de critiques par Microsoft, dont MS03-046, une vulnérabilité d’exécution de code à distance dans Microsoft Exchange.
« Plus les choses changent, plus elles restent les mêmes. Depuis près de 20 ans, le Patch Tuesday est un élément de base pour les administrateurs système, le personnel informatique, les utilisateurs à domicile et les analystes, mais il a également longtemps dépassé son utilité », a-t-il déclaré.
« Microsoft dépend de plus en plus des versions de correctifs hors cycle parce que les méchants s’améliorent dans la militarisation des vulnérabilités et l’exploitation plus rapide de ces systèmes vulnérables. L’abandon du Patch Tuesday permettra, espérons-le, à Microsoft de répondre plus rapidement aux nouvelles vulnérabilités et de faire sortir les correctifs plus tôt », a ajouté Liska.
Réparation Autopatch, remplacement Autopatch
À partir de maintenant, comme indiqué précédemment, Patch Tuesday sera remplacé par un nouveau service automatisé, Windows Autopatch, disponible pour Licences Windows Entreprise E3 et couvrant Windows 10, 11 et Windows 365.
Ce service, qui maintiendra à jour les logiciels Windows et Office sur les terminaux inscrits sans frais supplémentaires, a été développé en réponse à la complexité croissante des environnements informatiques, ce qui a considérablement augmenté le nombre et la portée des vulnérabilités auxquelles les équipes de sécurité doivent faire face, et rend le deuxième mardi du mois quelque peu difficile.
Microsoft estime qu’en automatisant la gestion des correctifs, il peut fournir une réponse plus rapide aux changements. De plus, grâce à une fonctionnalité dédiée appelée Rings, qui « cascadera » les mises à jour à travers un ensemble de base des appareils de test de l’utilisateur pour les tests et la validation (y compris la possibilité d’annuler la mise à jour si les choses tournent en forme de poire), les équipes de sécurité peuvent soi-disant être plus confiantes pour introduire de nouveaux correctifs sans causer de problèmes.
Technologie3 ans ago
Monde3 ans ago
Monde2 ans ago
Monde3 ans ago
Monde3 ans ago
France3 ans ago
France3 ans ago
France2 ans ago