Il ne reste que quelques jours avant Noël pour acheter ses cadeaux et appliquer ses correctifs, et un seul Patch Tuesday avant la fin du support Microsoft de Windows 7 et Server 2008/2008 R2. Les conseils de Chris Goettl, Director, Product Management, Security chez Ivanti, pour les lecteur de Solutions Numériques.
Microsoft résout 36 vulnérabilités avec ce Patch Tuesday de décembre, notamment une dont l’exploitation a été constatée (CVE-2019-1458). Microsoft publie également les détails d’une vulnérabilité de XP SP3 (CVE-2019-1489), mais ne prévoit aucun correctif. Google publie une mise à jour pour Chrome, qui résout 51 vulnérabilités. Adobe publie aussi plusieurs mises à jour : celle d’Adobe Reader est la plus inquiétante, avec 21 vulnérabilités résolues. Une publication Adobe Flash Player est sortie aujourd’hui, mais elle ne concerne pas la sécurité.
Microsoft résout la vulnérabilité CVE-2019-1458. Il s’agit d’une vulnérabilité Win32k d’élévation des privilèges dans le système d’exploitation Windows. Cette vulnérabilité est seulement de niveau “Important” et son score CVSSv3 de base est de 7,8. Il s’agit de l’une des nombreuses vulnérabilités résolues par Microsoft en 2019 qui étaient exploitées mais pas marquées comme étant de gravité “Critique”. Si vos critères de gestion des vulnérabilités reposent sur la gravité définie par le fournisseur ou sur le score CVSS pour déterminer les éléments à mettre à jour, vous devez réévaluer vos critères pour garantir que les vulnérabilités exploitées de ce type ne passent pas entre les mailles de votre processus de définition des priorités.
Une CVE pour Windows XP SP3. Un rien confus
Microsoft publie une CVE pour Windows XP SP3 (CVE-2019-1489), précisant toutefois également dans le bulletin que Windows XP n’est plus pris en charge. La façon dont cette CVE est documentée est également un peu confuse. Le score Microsoft d’évaluation d’exploitabilité pour la dernière version logicielle et d’évaluation d’exploitabilité pour les versions logicielles antérieures est de 0, ce qui est généralement la valeur réservée aux vulnérabilités dont l’exploitation est confirmée ; pourtant son statut d’exploitation indiquait « Non » au moment où le bulletin a été publié. Si vous consultez la « zero-day » du mois (CVE-2019-1458), le score d’évaluation d’exploitabilité pour les versions logicielles antérieures est « 0 – Exploitation détectée », une incohérence étrange qui s’ajoute au fait que la CVE est conseillée pour un OS obsolète. Il est très probable que cette vulnérabilité ait été réellement exploitée.
14 CVE “Critiques” sur Acrobat Reader
Adobe publie des mises à jour pour Adobe Acrobat Reader, Flash Player, Photoshop, Brackets et ColdFusion. Comme je l’ai dit, la mise à jour Flash ne concerne pas la sécurité. Les mises à jour Photoshop et Brackets sont toutes deux marquées “Priorité 3”, et résolvent un total de trois CVE à elles deux. La mise à jour ColdFusion résout une seule CVE et Adobe l’a notée Priorité 2. Acrobat Reader résout un total de 21 CVE, dont 14 sont marquées “Critiques”. Les plus sévères permettent l’exécution d’un code arbitraire sur le système infecté.
Microsoft publie également des mises à jour de pile de maintenance (SSU) pour Windows 7, Server 2008, Server 2008 R2 et Server 2012.
Visual Studio : des CVE concernent la fonction Git
Microsoft résout ce mois-ci plusieurs vulnérabilités de Visual Studio. Ces CVE concernent toutes la fonction Git, qui permet à un développeur d’émettre un appel dans un référentiel pour récupérer un module spécifique dans son projet. Dans ce scénario, un pirate doit convaincre le développeur de cloner un référentiel malveillant. Cela peut être difficile à exécuter mais, si le pirate y parvient, le résultat peut s’avérer très lucratif. Il s’agit d’un harponnage (phishing) d’escalade des privilèges dans le groupe d’ingénierie. Un pirate peut potentiellement cibler un fournisseur de logiciels ou un prestataire de services. S’il en sait suffisamment sur la plateforme du fournisseur et s’il a accès à la liste des adresses e-mail de ces développeurs, il peut créer une campagne de phishing pour cibler ces utilisateurs et tenter de les convaincre d’accéder à son référentiel malveillant. Il est très courant pour les développeurs de partager du code ou de demander à quelqu’un de déboguer un problème. Si un développeur sans méfiance se connecte au référentiel d’une personne à laquelle il pense pouvoir faire confiance, le pirate peut prendre le contrôle de son environnement de développement.
Les fournisseurs tiers deviennent des cibles haute priorité pour les pirates. Ils peuvent ainsi attaquer de nombreuses cibles en même temps via une attaque coordonnée sur le fournisseur. Les récentes attaques par ransomware dans les secteurs de la santé et de l’hôtellerie ciblaient des fournisseurs qui travaillent avec de nombreuses PME. Ces attaques visant plusieurs entreprises créent assez de dégâts pour extorquer une rançon plus importante, là où des attaques séparées sur chaque entreprise n’auraient pas été rentables.