Plusieurs bogues Microsoft activement exploités

Une mise à jour exceptionnelle de Juillet Patch Tuesday de Microsoft a marqué quelque chose d’un retour au mauvais vieux temps de 2020, s’attaquant à 117 vulnérabilités, 13 d’entre eux classés comme critiques et quatre qui sont déjà exploités dans la nature par des acteurs malveillants.

Évaluant l’ampleur de la baisse des correctifs, Justin Knapp, responsable principal du marketing produit d’Automox, a déclaré: « Juillet représente un changement radical par rapport aux versions relativement légères que nous avons observées au cours des mois précédents et met en évidence une hausse des exploits zero-day et l’urgence nécessaire pour suivre le rythme d’une liste croissante de menaces.

« La récente augmentation des attaques de la chaîne d’approvisionnement a mis tout le monde en garde et renforce la nécessité d’être extrêmement diligent lorsqu’il s’agit des meilleures pratiques en matière de correctifs et d’évaluation des risques pour assurer une exposition minimale. »

Kevin Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs, a ajouté: « Comme toujours, dans la mesure du possible, corrigez rapidement et donnez la priorité à tout ce qui est activement exploité. Toutefois, l’application de correctifs est évidemment spécifique à chaque environnement, de sorte que ces conseils doivent être adaptés pour garantir la gestion des systèmes critiques de l’entreprise. Idéalement, les correctifs doivent être testés sur des serveurs hors production avant d’être déployés à grande échelle.

Les quatre bogues activement exploités contre lesquelles les défenseurs devraient donner la priorité à l’application de correctifs sont:

• CVE-2021-34448, une vulnérabilité de corruption de mémoire dans le moteur de script, qui donne à un attaquant la possibilité d’exécuter du code sur un système cible s’il peut convaincre l’utilisateur de visiter un site Web spécialement conçu. Décrit par Breen comme « élégant dans sa simplicité », ce bug est trivial à exploiter car il est si facile de créer des domaines d’aspect professionnel portant des certificats TLS valides qui sont, en fait, malveillants.
• CVE-2021-33771, une vulnérabilité d’élévation de privilèges (EoP) dans le noyau Windows affectant Windows 8.1, Server 2012 R2 et les versions ultérieures de Windows.
• CVE-2021-31979, une autre vulnérabilité EoP dans le noyau Windows affectant Windows 7, Server 2008 et versions ultérieures de Windows. Breen a noté que parce que les deux vulnérabilités du noyau permettent aux attaquants d’obtenir un contrôle élevé sur leurs environnements cibles, ils attireraient inévitablement l’intérêt des opérateurs de ransomware.
• CVE-2021-34527, alias PrintNightmare, qui a déjà fait l’objet d’un correctif hors séquence, une vulnérabilité d’exécution de code à distance (RCE) dans Windows Print Spooler. Selon Microsoft, la dernière version de ce correctif particulier devrait résoudre les problèmes précédemment soulevés.

D’autres vulnérabilités à noter ce mois-ci incluent CVE-2021-33779, un contournement de fonctionnalité de sécurité dans la sécurité de Windows ADFS; CVE-2021-33781, un contournement de la fonctionnalité de sécurité dans Active Directory; CVE-2021-34492, une vulnérabilité d’usurpation de certificat dans le système d’exploitation Windows; CVE-2021-34473, une vulnérabilité RCE dans Microsoft Exchange Server; et CVE-2021-34523, une autre vulnérabilité EoP dans Microsoft Exchange Server.

L’initiative Zero Day a également noté en particulier CVE-2021-34458, une vulnérabilité RCE dans le noyau Windows – une occurrence inhabituelle et quelque chose qui mérite une attention particulière, et CVE-2021-34494, une vulnérabilité RCE dans Windows DNS Server.

Chris Goettl d’Ivanti a déclaré que lorsque les équipes de sécurité cherchent à commencer à travailler sur l’application des correctifs, il est important de considérer plus que la gravité de la note de Microsoft et le score CVSS qui leur a été attribué.

« Si vous n’avez pas de mesures supplémentaires pour déterminer le risque, il est très possible que vous manquiez certaines des mises à jour les plus percutantes », a-t-il déclaré.

« Un bon exemple de la façon dont les algorithmes du fournisseur utilisés pour définir la gravité peuvent donner un peu de faux sentiment de sécurité peut être trouvé dans la gamme zero-day de ce mois-ci. Deux des CVE ne sont classés par Microsoft que comme importants, mais ils étaient activement exploités avant la publication de la mise à jour. Le score CVSSv3 pour le CVE critique est en fait inférieur aux deux CVE importants.

Goettl a ajouté: « Selon des analystes comme Gartner, l’adoption d’une approche basée sur les risques pour la gestion des vulnérabilités peut réduire le nombre d’incidents de violation de données chaque année jusqu’à 80%. »