Le Patch Tuesday de juillet est particulièrement fourni. Avec la récente mise à jour hors bande PrintNightmare, la mise à jour CPU trimestrielle d’Oracle qui arrive, une série de mises à jour Adobe incluant notamment Acrobat et Reader, Mozilla Firefox et Firefox ESR, et l’habituelle série de mises à jour mensuelles de Microsoft, il va vraiment falloir définir des priorités pour la correction des vulnérabilités ce mois-ci. L’analyse de Chris Goettl, directeur sénior Gestion produits et sécurité chez Ivanti.
Commençons par la vulnérabilité PrintNightmare (CVE-2021-34527), identifiée après la mise à jour du Patch Tuesday de juin comme étant encore une vulnérabilité du spouleur d’impression à résoudre. Microsoft a rapidement publié des mises à jour de sécurité hors bande pour la plupart des systèmes d’exploitation. Des mises à jour sont disponibles pour Windows 7 et Server 2008/2008 R2, à condition de disposer d’un abonnement aux mises à jour ESU (Extended Security Updates – Mises à jour de sécurité étendues). Microsoft fournit aussi un article d’accompagnement qui précise le mode de fonctionnement de ces mises à jour et certaines options de configuration supplémentaires. Si vous n’avez pas encore déployé la mise à jour hors bande, vous pouvez vous contenter d’appliquer les mises à jour d’OS de juillet pour résoudre les trois nouvelles vulnérabilités Zero Day en plus de cette CVE.
Microsoft résout 117 CVE uniques, dont 10 sont classées comme au niveau critique. On compte trois vulnérabilités Zero Day et 5 divulgations publiques. Et on a quelques bonnes nouvelles. Ces trois vulnérabilités Zero Day, ainsi que 5 des vulnérabilités à divulgation publique, sont toutes résolues si vous déployez les mises à jour d’OS de juillet. Ce mois-ci, les mises à jour concernent l’OS Windows, Office 365, Sharepoint, Visual Studio, et différents modules et composants (dont la liste figure dans les notes de publication).
Définition de priorités en fonction des risques
Lorsque vous examinez les vulnérabilités résolues par les fournisseurs dans cette mise à jour Patch Tuesday, il est important de ne pas seulement tenir compte de la gravité fournisseur et du score CVSS pour votre évaluation. Si vous n’utilisez pas d’autre mesure pour déterminer le niveau de risque, il est très probable que vous allez manquer certaines des mises à jour qui ont le plus d’impact. Voici un bon exemple de la façon dont les algorithmes fournisseur utilisés pour définir le niveau de gravité peuvent vous donner une impression de sécurité trompeuse : il s’agit de la série de vulnérabilités Zero Day de ce mois. Deux des CVE sont seulement classées au niveau Important par Microsoft, alors qu’elles ont été activement exploitées avant la publication de la mise à jour. Le score CVSSv3 de la CVE Critique est en fait plus bas que celui des deux CVE de niveau Important. D’après certains analystes, comme Gartner, l’adoption d’une approche de gestion des vulnérabilités basée sur les risques réduit chaque année de jusqu’à 80 % le nombre d’incidents de fuite de données (« Gartner Forecast Analysis: Risk-Based Vulnerability Management 2019 ».
Vulnérabilités Zero Day :
CVE-2021-31979 est une vulnérabilité d’élévation de privilèges du noyau Windows. Cette vulnérabilité a été détectée dans des attaques en environnement réel. Pour Microsoft, le niveau de gravité de cette CVE est Important et son score CVSSv3 est 7,8. Cette vulnérabilité affecte Windows 7, Server 2008 et les versions plus récentes de l’OS Windows.
CVE-2021-33771 est une vulnérabilité d’élévation de privilèges du noyau Windows. Cette vulnérabilité a été détectée dans des attaques en environnement réel. Pour Microsoft, le niveau de gravité de cette CVE est Important et son score CVSSv3 est 7,8. Cette vulnérabilité affecte Windows 8.1, Server 2012 R2 et les versions plus récentes de l’OS Windows.
CVE-2021-34448 est une vulnérabilité de corruption de la mémoire du moteur de scripts Windows, qui permet à un pirate de cibler un utilisateur afin d’exécuter du code à distance sur le système infecté.
Dans un scénario d’attaque basé sur le Web, le pirate peut héberger un site Web (ou exploiter un site Web infecté qui accepte ou héberge du contenu fourni par l’utilisateur) contenant un fichier spécialement conçu pour permettre l’exploitation de cette vulnérabilité. Cependant, le pirate n’a aucun moyen de contraindre l’utilisateur à visiter ce site Web. Au lieu de cela, le pirate doit convaincre l’utilisateur de cliquer sur un lien, généralement en l’attirant au moyen d’un e-mail ou via la messagerie instantanée, puis d’ouvrir le fichier spécialement conçu.
Pour Microsoft, le niveau de gravité de cette CVE est Critique et son score CVSSv3 est 6,8. Cette vulnérabilité affecte Windows 7, Server 2008 et les versions plus récentes de l’OS Windows.
Divulgations publiques :
CVE-2021-33781 est une vulnérabilité de contournement des fonctions de sécurité dans le service Active Directory. Cette vulnérabilité a fait l’objet d’une divulgation publique. Pour Microsoft, le niveau de gravité de cette CVE est Important et son score CVSSv3 est 8,1. Cette vulnérabilité affecte Windows 10, Server 2019 et les versions plus récentes de l’OS Windows.
CVE-2021-33779 est une vulnérabilité de contournement des fonctions de sécurité ADFS Windows. Cette vulnérabilité a fait l’objet d’une divulgation publique. Pour Microsoft, le niveau de gravité de cette CVE est Important et son score CVSSv3 est 8,1. Cette vulnérabilité concerne Server 2016, 2019, 2004, 20H2 et les principales versions de Windows Server.
CVE-2021-34492 est une vulnérabilité d’usurpation d’identité de certificat dans l’OS Windows. Cette vulnérabilité a fait l’objet d’une divulgation publique. Pour Microsoft, le niveau de gravité de cette CVE est Important et son score CVSSv3 est 8,1. Cette vulnérabilité affecte Windows 7, Server 2008 et les versions plus récentes de l’OS Windows.
CVE-2021-34473 est une vulnérabilité d’exécution de code à distance de Microsoft Exchange Server. Cette vulnérabilité a fait l’objet d’une divulgation publique. Pour Microsoft, le niveau de gravité de cette CVE est Critique et son score CVSSv3 est 9. Cette vulnérabilité concerne Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
CVE-2021-34523 est une vulnérabilité d’élévation de privilèges de Microsoft Exchange Server. Cette vulnérabilité a fait l’objet d’une divulgation publique. Pour Microsoft, le niveau de gravité de cette CVE est Important et son score CVSSv3 est 9,1. Cette vulnérabilité concerne Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
Mises à jour tierces :
Oracle va publier sa mise à jour CPU (Critical Patch Update) trimestrielle le 20 juillet. Elle inclura des mises à jour pour Oracle Java SE, MySQL, Fusion Middleware et de nombreux autres produits Oracle. Toutes comprendront des correctifs de sécurité, et des détails CVSSv3.1, notamment la complexité de l’attaque, le fait que la vulnérabilité soit ou non exploitable à distance, et d’autres détails qui vous aideront à comprendre comment définir vos priorités en fonction de l’urgence d’application de ces mises à jour.
Adobe publie des mises à jour pour cinq produits dans le cadre de sa mise à jour Patch Tuesday de juillet. Les mises à jour Adobe Bridge, Dimension, Illustrator et Framemaker sont marquées Priorité 3 par Adobe. Chacune résout au moins une CVE critique. Pour définir le niveau de priorité, Adobe tient compte de la gravité des vulnérabilités et de la probabilité qu’un pirate cible le produit concerné. La priorité 1 d’Adobe signale qu’au moins une CVE figurant dans la mise à jour a été activement exploitée. Les produits Priorité 3 sont les moins susceptibles d’être ciblés et ceux dont les vulnérabilités ont été le plus rarement exploitées par le passé. Même si elles ne sont pas urgentes, ces quatre mises à jour de produit doivent être appliquées dans un délai raisonnable. Ce mois-ci l’urgence est la mise à jour Adobe Acrobat et Reader (APSB21-51), qui résout 19 CVE, dont 14 sont classées Critique. Le niveau de priorité défini par Adobe pour cette mise à jour est Priorité 2. Trois des CVE critiques portent un score CVSSv3 de 8,8 et leur exploitation peut permettre d’exécuter du code à distance. Même si l’on ne connaît aucune exploitation de ces CVE, Acrobat et Reader sont très souvent disponibles sur les systèmes, et font une bonne cible pour les pirates.
Mozilla publie des mises à jour pour Firefox et Firefox ESR, pour corriger 9 CVE. Mozilla classe cinq de ces CVE comme ayant un fort impact (High Impact). Pour en savoir plus, consultez le document MFSA2021-28.
Priorités recommandées :
- Ce mois-ci, la principale priorité est la mise à jour de l’OS Windows. Trois vulnérabilités Zero Day supplémentaires résolues, plus (pour ceux qui n’ont pas encore déployé la mise à jour hors bande) le correctif PrintNightmare, cela fait un total de quatre vulnérabilités Zero Day et de trois vulnérabilités à divulgation publique.
- Microsoft Exchange comporte deux vulnérabilités à divulgation publique et la vulnérabilité CVE-2021-31206, initialement démontrée lors du concours Pwn2Own il y a quelques mois. Ainsi, même si Exchange a connu un bref répit après quelques mois de mises à jour très rapprochées, cette vulnérabilité doit être examinée et résolue dès que possible.
- Les mises à jour tierces d’Adobe Acrobat et Reader, ainsi que de Mozilla Firefox doivent être parmi vos priorités. Les applications PDF et de navigateur sont des cibles de choix pour les pirates, visant l’utilisateur par le biais de l’hameçonnage et d’autres techniques qui ciblent l’utilisateur.