Technologie
La vulnérabilité de démarrage sécurisé cause des maux de tête Patch Tuesday aux administrateurs
Lors d’un Patch Tuesday nettement plus léger que ces derniers temps, une vulnérabilité zero-day révélée publiquement et activement exploitée dans la fonctionnalité de sécurité de démarrage sécurisé de Windows semble devoir causer un mal de tête permanent aux administrateurs et aux équipes de sécurité.
Suivi comme CVE-2023-24932 – et l’un des deux jours zéro exploités dans la chute de mai de Microsoft Patch Tuesday – l’exploitation réussie de cette vulnérabilité de contournement de la fonctionnalité de sécurité, attribuée à Martin Smolár d’ESET et Tomer Sne-or de SentinelOne, est considérée comme particulièrement dangereuse.
En effet, s’il est utilisé conjointement avec un kit de démarrage connu sous le nom de BlackLotus pour exécuter du code signé par l’acteur malveillant au niveau de l’interface unifiée du microprogramme extensible (UEFI), il s’exécutera avant le système d’exploitation (OS), de sorte que l’attaquant peut alors désactiver les protections de sécurité pour faire encore plus de dégâts.
« Le CVE est considéré comme « important » par les algorithmes d’évaluation de Microsoft, mais avec les exploits confirmés, vous pouvez ignorer cet indice de gravité et répondre aux indicateurs de risque réels », explique Chris Goettl, vice-président de la gestion des produits de sécurité d’Ivanti.
La vulnérabilité nécessite que l’attaquant dispose d’un accès physique ou d’autorisations administratives sur le système cible, avec lesquelles il peut installer une stratégie de démarrage affectée qui sera en mesure de contourner le démarrage sécurisé pour compromettre davantage le système. La vulnérabilité affecte toutes les versions actuellement prises en charge du système d’exploitation Windows », a-t-il déclaré.
Microsoft a déclaré que bien que le correctif pour CVE-2023-24932 soit fourni dans la version actuelle, il est désactivé par défaut et ne fournira pas encore une protection complète, ce qui signifie que les clients devront suivre une séquence manuelle pour mettre à jour le support de démarrage et appliquer des révocations avant d’activer la mise à jour.
À cette fin, il adopte une approche en trois phases, dont la version initiale est la première. La publication du 11 juillet du Patch Tuesday verra une deuxième version contenant des options de mise à jour supplémentaires pour simplifier le déploiement. Enfin, entre janvier et mars 2024, une version finale activera le correctif par défaut et appliquera les révocations du Gestionnaire de démarrage sur tous les appareils Windows.
Selon Microsoft, cela est nécessaire car le démarrage sécurisé contrôle très précisément le support de démarrage qui peut se charger lorsque le système d’exploitation est lancé pour la première fois, donc si la mise à jour est mal appliquée, elle peut causer plus de perturbations et empêcher le système de démarrer.
S’adressant à TechTarget aux États-Unis, Goettl a déclaré que cela pourrait être un processus douloureux, certains étant confrontés à la perspective de s’enliser pendant très longtemps.
Zero-days
L’autre vulnérabilité zero-day exploitée résolue ce mois-ci est CVE-2023-29336, une vulnérabilité d’élévation de privilèges (EoP) dans Win32k, créditée à Jan Vojtěšek, Milánek et Luigino Camastra d’Avast, mais qui figurera également en bonne place sur le registre CVE-2023-29325, une vulnérabilité d’exécution de code à distance (RCE) de niveau critique dans Windows OLE qui est divulguée mais pas encore exploitée, créditée à Will Dormann de Vul Labs.
CVE-2023-29936 ne nécessite aucune intervention de l’utilisateur et peut être utilisé pour obtenir des privilèges au niveau du système s’il est exploité avec succès. Il a un impact sur Windows 10 et versions ultérieures, et Windows Server 2008 à 2016.
« C’est le cinquième mois consécutif qu’une vulnérabilité d’élévation de privilèges a été exploitée dans la nature comme un jour zéro », a déclaré Satnam Narang, ingénieur de recherche principal chez Tenable. « Nous prévoyons que les détails entourant son exploitation seront bientôt rendus publics par les chercheurs qui l’ont découvert.
« Cependant, il n’est pas clair si cette faille est un contournement de patch. Historiquement, nous avons vu trois exemples distincts où les vulnérabilités EoP Win32k ont été exploitées comme zéro jour », a-t-il expliqué. En janvier 2022, Microsoft a corrigé CVE-2022-21882, qui a été exploité dans la nature et serait un contournement de correctif pour CVE-2021-1732, qui a été patché en février 2021 et également exploité dans la nature. En octobre 2021, Microsoft a corrigé un autre Win32k EoP, identifié comme CVE-2021-40449, qui était lié à un cheval de Troie d’accès à distance connu sous le nom de MysterySnail, qui était un contournement de correctif pour CVE-2016-3309.
« Bien que relativement rare, il est intéressant d’observer plusieurs failles EoP Win32k exploitées comme zero-day qui étaient également des contournements de patch », a observé Narang.
CVE-2023-29325, quant à elle, est une vulnérabilité critique pour laquelle une preuve de concept est disponible. Il a un vecteur d’attaque réseau et une complexité d’attaque élevée, et bien qu’aucun privilège spécial ne soit nécessaire pour l’exploiter, la victime doit être amenée à ouvrir un e-mail malveillant. Il a un impact sur Windows 10 et Windows Server 2008 et versions ultérieures.
Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un a rédigé un message électronique à la victime », a déclaré Mike Walters, cofondateur et vice-président de la recherche sur les vulnérabilités et les menaces d’Action1.
La victime pourrait soit ouvrir l’e-mail avec une version affectée de Microsoft Outlook, soit le prévisualiser dans l’application Outlook, permettant ainsi à l’attaquant d’exécuter du code à distance sur l’ordinateur de la victime.
« Pour atténuer le risque, Microsoft recommande d’utiliser certaines mesures. Dans Microsoft Outlook, la prudence doit être exercée lors de la manipulation de fichiers RTF provenant de sources inconnues ou non fiables. Une autre étape de précaution consiste à lire les messages électroniques au format texte brut, qui peut être configuré dans Outlook ou via la stratégie de groupe. Il est important de noter que l’adoption du format texte brut peut entraîner la perte d’éléments visuels tels que des images, des polices spéciales et des animations », a déclaré Walters.
Les vulnérabilités critiques restantes dans la baisse de mai comprennent cinq vulnérabilités RCE et une vulnérabilité EoP.
Les vulns RCE sont, dans l’ordre du numéro CVE :
- CVE-2023-24903 dans le protocole SSTP (Secure Socket Tunnelling Protocol) de Windows.
- CVE-2023-24941 dans le système de fichiers réseau Windows.
- CVE-2023-24943 dans Windows Pragmatic General Multicast (PGM).
- CVE-2023-24955 dans Microsoft SharePoint Server.
- et CVE 2023-28283 dans le protocole LDAP (Lightweight Directory Access Protocol) de Windows.
La vulnérabilité critique EoP est CVE-2023-29324 dans la plate-forme Windows MHSTML.
-
Technologie3 ans agoUne escroquerie par hameçonnage cible les clients de la Lloyds Bank
-
Monde3 ans agoLa NASA va supprimer les noms « offensants » des planètes et des galaxies
-
Monde3 ans agoQuelle est la taille de Barron Trump?
-
Monde3 ans agoQui est le mari de Candace Owens, George Farmer?
-
Monde3 ans agoQui est le chef de la mafia sicilienne Matteo Messina Denaro?
-
France3 ans agoQui est Luce Douady et comment l’alpiniste de 16 ans est-il mort?
-
France3 ans agoLe mari admet avoir tué sa femme en vacances et jeter le corps dans les égouts pluviaux
-
Technologie10 mois agoLe forum cybercriminel ne cible que la Russie