Microsoft publie des mises à jour qui résolvent 97 CVE uniques. Voici l’analyse de Chris Goettl, directeur senior Gestion produits et sécurité chez Ivanti, qui parle aussi des opérations de nettoyage de Log4j et de Microsoft Exchange.
On a un bon nombre de problèmes à examiner ce mois-ci, notamment les opérations de nettoyage de Log4j qui se poursuivent dans beaucoup d’entreprises, un script servant à corriger une limite de valeur de date dans le service sur site Microsoft Exchange Transport qui bloque les e-mails dans de nombreuses entreprises, et des mises à jour de sécurité pour Microsoft, Adobe, Mozilla et Oracle (publication prévue le 18 janvier 2022).
Le nettoyage de Log4j se poursuit dans de nombreuses entreprises
Pour la plupart, la principale question est vraiment de savoir si l’on a repéré toutes les instances possibles de Log4j. Comme je l’ai mentionné dans mon billet de blog à propos du Patch Tuesday de décembre 2021, les vulnérabilités Log4j ne peuvent vraiment pas se résoudre avec une simple mise à jour. Il s’agit d’un composant de messagerie intégré à tout un éventail de services Web et d’applications fournisseur. Très souvent, il est difficile à détecter, et les analyseurs de code et autres outils de recherche des vulnérabilités réseau ont du mal à identifier correctement l’exposition de cette vulnérabilité. Les entreprises qui ont pu réagir rapidement ont constaté qu’il fallait retrousser ses manches pour vraiment comprendre le niveau d’exposition. Elles ont rapidement évalué l’utilisation de Log4j par leurs équipes de développement en interne, ainsi que le processus de gestion des risques de leurs fournisseurs pour faire la liste des fournisseurs dont elles consommaient les solutions, puis évaluer chacun afin de savoir s’il y avait exposition. Pour plus de certitude, les équipes de sécurité ont aussi utilisé différents analyseurs personnalisés, spécialement conçus pour rechercher les fichiers binaires Log4j. C’est indispensable, car Log4j était souvent enterré sous plusieurs couches de fichiers JAR, ce qui trompait de nombreux analyseurs de vulnérabilités. Voici les derniers conseils concernant Log4j pour les fournisseurs et les entreprises concernées :
- Entreprises : déterminez si vos produits utilisant Log4j sont vulnérables :
- Consultez la liste des applis vulnérables et exécutez un analyseur Log4j. La CISA fournit une liste et des liens vers des analyseurs, mais vous en trouverez également d’autres. Vous devez examiner la liste de vos fournisseurs et la comparer avec les listes telles que la liste CISA des applis vulnérables. Si certains de vos fournisseurs ne figurent pas dans ces listes, nous vous recommandons de les contacter directement pour vous assurer qu’il n’y a aucune exposition.
- Exécutez un analyseur Log4j : cela doit s’ajouter aux analyseurs de vulnérabilités que vous utilisez normalement, pour garantir que vous détectez bien les cas qui trompent ces analyseurs et les empêchent de détecter la vulnérabilité.
- Corrigez les instances de Log4j détectées à l’aide des outils de correction fournis par vos fournisseurs ou des mises à jour disponibles.
- Fournisseurs et équipes de développement : Consultez la page des vulnérabilités de sécurité Apache Log4j car, désormais, plusieurs vulnérabilités Log4j sont suivies. L’ISA presse les utilisateurs et les administrateurs de mettre leur système à niveau vers Log4j 2.17.1 (Java 8), 2.12.4 (Java 7) et 2.3.2 (Java 6) afin de résoudre toutes les vulnérabilités actuellement connues, y compris celles dont on sait qu’elles ont été exploitées (exploitation Log4Shell initiale CVE-2021-44228 et correctif supplémentaire pour résoudre les configurations autres que celle par défaut, CVE-2021-45046). Les vulnérabilités supplémentaires qui ont été résolues (CVE-2021-45105 et CVE-2021-45046) l’ont été dans les toutes dernières versions. Même si l’on ne connaît aucune exploitation de ces deux CVE supplémentaires, le risque d’exploitation potentielle est élevé, alors il vaut mieux ne pas trop attendre.
La surprise Microsoft Exchange du Nouvel An
Les administrateurs Microsoft Exchange ont une surprise du Nouvel An : les serveurs Exchange sur site ont commencé à subir un blocage des e-mails, car les files d’attente ont connu un problème de format de date dans le service de gestion du filtrage (Filtering Management Service). Des conseils ont très rapidement été publiés dès le 1er janvier 2022 et les e-mails bloqués dans les files d’attente de transport ont vite été sauvegardés. Le premier conseil publié demandait de désactiver le service antimalware pour contourner le problème et rétablir la circulation des e-mails. Plus tard, ces conseils ont été complétés d’étapes scriptées et manuelles, à suivre pour arrêter les services infectés, mettre à jour le moteur concerné, puis redémarrer les services pour résoudre le problème. Si vous avez seulement appliqué le conseil d’origine, il est recommandé de suivre les étapes supplémentaires décrites par Microsoft afin d’implémenter la mise à jour amupdate et de redémarrer le service de transport.
Le Patch Tuesday de janvier 2022 inclut des mises à jour pour Adobe, Microsoft et Mozilla
N’oubliez pas que la mise à jour CPU trimestrielle Oracle sortira le 18 janvier, et ne l’oubliez pas dans votre calendrier de mises à jour des semaines à venir.
Adobe publie 5 mises à jour, qui résolvent un total de 41 CVE, dont 22 sont classées Critique. La mise à jour Acrobat et Reader est marquée Priorité 2, et les mises à jour Illustrator, Bridge, InCopy et InDesign sont marquées Priorité 3.
Mozilla publie ce mois-ci 3 mises à jour, qui résolvent un total de 18 CVE, dont 9 sont classées Critique. Ces mises à jour concernent Mozilla Thunderbird, Firefox et Firefox ESR, et toutes trois sont marquées Gravité élevée.
Microsoft publie des mises à jour qui résolvent 97 CVE uniques, dont 9 sont classées Critique. On compte ce mois-ci 6 vulnérabilités à divulgation publique, mais aucune Zero Day. Les mises à jour Microsoft concernent l’OS Windows, Edge (Chromium), .Net Framework, Microsoft Exchange, O365, Defender et Dynamics. Même si l’on ne connaît aucune exploitation des vulnérabilités du mois, les six vulnérabilités divulguées publiquement nécessitent une attention plus immédiate, car elles peuvent avoir exposé un code POC ou d’autres détails susceptibles de fournir aux pirates des armes supplémentaires pour développer une exploitation. Les mises à jour de l’OS Windows incluent ce mois-ci des correctifs pour toutes les vulnérabilités à divulgation publique.
Microsoft résout une vulnérabilité de déni de service dans la liste de contrôle d’accès discrétionnaire de l’outil Suivi des événements pour Windows (CVE-2022-21839), qui affectent les versions de l’OS Windows 10 1809 et Server 2019. Cette vulnérabilité de DoS a un code POC (Proof of Concept) et a été confirmée.
Microsoft résout une vulnérabilité d’usurpation d’identité (spoofing) dans les certificats Windows (CVE-2022-21836), qui affecte Windows 7, Server 2008 et les versions plus récentes de l’OS Windows. Cette vulnérabilité permet à un pirate de contourner la vérification de fichier binaire WPBT à l’aide d’un petit nombre de certificats infectés. Microsoft a ajouté ces certificats à la liste de blocage du pilote de noyau Windows, driver.stl. Les certificats de driver.stl sont bloqués même s’ils figurent dans la table des fichiers binaires de la plateforme Windows (Windows Platform Binary Table – WPBT). Cette vulnérabilité d’usurpation d’identité a un code POC (Proof of Concept – Validation de principe) et a été confirmée.
Microsoft résout une vulnérabilité d’élévation des privilèges dans le service de profils d’utilisateur Windows (CVE-2022-21919), qui affecte Windows 7, Server 2008 et les versions plus récentes de l’OS Windows. Cette vulnérabilité d’élévation des privilèges a un code POC (Proof of Concept) et a été confirmée.
Microsoft résout une vulnérabilité d’exécution de code à distance dans l’API Centre de sécurité Windows (CVE-2022-21874), qui affecte Windows 10, Server 2016 et les versions plus récentes de l’OS Windows. Cette vulnérabilité a été confirmée mais aucun code POC (Proof of Concept) n’est disponible.
Microsoft résout une vulnérabilité d’exécution de code à distance dans Libarchive (CVE-2021-36976), qui affecte Windows 10, Server 2019 et les versions plus récentes de l’OS Windows. Cette bibliothèque Open Source inclut des correctifs supplémentaires pour des vulnérabilités qui remontent à 2006.
Microsoft résout une vulnérabilité d’exécution de code à distance dans l’outil Open Source Curl (CVE-2021-22947), qui affecte Windows 10, Server 2019 et les versions plus récentes de l’OS Windows. Cette bibliothèque Open Source inclut des correctifs supplémentaires pour des vulnérabilités qui remontent à 2000.