Microsoft publie des mises à jour pour résoudre un total de 101 vulnérabilités (CVE), dont 98 nouvelles CVE et 3 révisions de CVE datant de novembre et décembre 2022. Ce mois-ci, 11 CVE sont marquées Critique. Parmi elles, les plus urgentes sont une vulnérabilité dont l’exploitation est connue (CVE-2023-21674), une vulnérabilité divulguée publiquement (CVE-2023-21549) et la mise à jour d’un Advisory (conseil) publié en décembre 2022 (ADV220005). Pour les lecteurs de Solution-Numériques, voici l’analyse de Chris Goettl, Vice President of Product Management chez Ivanti.
L’Advisory 220005 (ADV220005) fournit des « instructions relatives à l’utilisation malveillante des pilotes signés par Microsoft ». Microsoft a inclus une liste de blocage dans la mise à jour d’OS du 10 janvier 2023, afin de bloquer les certificats de signature compromis. Microsoft recommande à tous ses clients d’exécuter la mise à jour du 10 janvier 2023 pour garantir qu’ils disposent de la liste de blocage la plus à jour.
Microsoft résout une vulnérabilité dont l’exploitation est connue (CVE-2023-21674), qui affecte l’appel de procédure ALPC (Advanced Local Procedure Call) Windows et pourrait permettre une élévation de privilèges. Cette vulnérabilité est marquée Important et concerne toutes les versions de l’OS Windows. Cette vulnérabilité peut permettre de s’évader du sandbox de navigateur. Le pirate peut ainsi obtenir des privilèges SYSTEM.
Microsoft résout une vulnérabilité divulguée publiquement (CVE-2023-21549) du service de témoin SMB Windows, susceptible de permettre une élévation de privilèges. Pour exploiter cette vulnérabilité, un pirate peut exécuter un script malveillant spécialement conçu pour exécuter un appel RPC vers un hôte RPC. Cela peut provoquer une élévation des privilèges sur le serveur. Cette vulnérabilité est classée Important et peut être exploitée sur le réseau sans aucune interaction utilisateur. La divulgation publique signifie qu’une quantité suffisante d’informations sur cette vulnérabilité a été communiquée au public pour que des pirates aient un temps d’avance et puissent en effectuer l’ingénierie inverse pour tenter de l’exploiter.
Pour le Patch Tuesday du 10 janvier 2023, la majorité des risques concerne la mise à jour de l’OS Windows pour toutes les versions actuelles. Il est recommandé d’accorder à ces mises à jour de l’OS Windows une priorité élevée, ce mois-ci.
Adobe publie des mises à jour Adobe Acrobat and Reader (APSB23-01) qui résolvent un total de 15 CVE, dont 8 sont classées Critique. La mise à jour est marquée Priorité 3, ce qui, d’après le système de classement Adobe, signifie « Cette mise à jour résout des vulnérabilités dans un produit qui n’a jamais été une cible pour les pirates dans le passé. Adobe recommande aux administrateurs d’installer cette mise à jour, à leur seule discrétion. »
La mise à jour CPU trimestrielle d’Oracle sera publiée le mardi 17 janvier. Attendez-vous à des mises à jour pour tous vos produits Oracle favoris, mais surtout pour Java, avec des mises à jour supplémentaires pour les alternatives à Java comme Corretto, AdoptOpenJDK, RedHat OpenJDK, Azul Zulu JDK, etc. La mise à jour CPU trimestrielle d’Oracle provoque un effet domino qui met à jour toutes les solutions Java.
Cycle de vie Windows Update :
Le Patch Tuesday de janvier 2023 marque la dernière mise à jour de support étendu (ESU) pour Windows 7, Server 2008 et 2008 R2. Microsoft va continuer pendant un an de plus à assurer le support ESU pour Server 2008 et Server 2008 R2, mais seulement en cas d’exécution dans Azure.
Le Patch Tuesday de janvier 2023 marque aussi la dernière mise à jour de sécurité pour Windows 8.1.
Windows Server 2012 et 2012 R2 atteignent leur date de fin de vie le 10 octobre 2023. Microsoft offrira un support ESU pendant trois ans à compter du 11 octobre 2023. Pour plus de détails, notamment des conseils de migration et les FAQ sur le cycle de vie, consultez la page traitant du cycle de vie de Server 2012 R2.
Conseils pour les clients Exchange concernant les exploitations ProxyNotShell et OWASSRF au vu de la récente attaque Play Ransomware visant les clients Rackspace :
Microsoft a réagi à l’exploitation ProxyNotShell initiale avec deux recommandations. À savoir une « règle de réécriture des URL » et le conseil « désactivez Remote Powershell pour les utilisateurs non Admin ». Microsoft recommande toujours cette désactivation de Powershell pour les non Admin dans ses conseils d’ordre général. La règle de réécriture des URL a été modifiée de nombreuses fois entre sa publication initiale et le 7 novembre. Le 8 novembre 2022, lors de la publication de la mise à jour Exchange Server, les conseils de Microsoft ont été mis à jour :
Mise à jour du 8 nov. 2022 : Nous avons publié les mises à jour de sécurité de novembre 2022 pour Exchange Server. Veuillez installer ces mises à jour (ou les plus récentes) pour traiter les vulnérabilités mentionnées dans ce post. L’atténuation n’est plus recommandée.
Rackspace a déclaré que le correctif du 8 novembre a provoqué des problèmes de performances dans leurs services Exchange hébergés, et que l’entreprise a décidé de continuer à exécuter l’atténuation. Il reste de nombreuses zones grises dans l’interprétation de ce qui constitue la meilleure réponse ou la plus appropriée, mais cet événement souligne deux points critiques que, selon moi, toutes les entreprises doivent garder à l’esprit.
L’atténuation n’est pas une correction définitive. Chaque fois qu’il existe une option d’atténuation, il est prévu que ce soit une solution à court terme mais avec certains compromis. L’atténuation Log4J peut encore vous protéger aujourd’hui si vous avez implémenté les conseils propres aux solutions de votre environnement. Cependant il vous en coûtera : certaines fonctions de journalisation ne seront pas disponibles, bien que l’atténuation reste efficace. Pour PrintNightmare, c’est une autre histoire. Il fallait désactiver le spouleur d’impression et vous ne pouviez pas imprimer tant que le correctif n’avait pas été publié. Concernant ProxyNotShell et OWASSRF, l’atténuation d’origine était conçue pour bloquer les étapes initiales de l’attaque ProxyNotShell. Elle ne tenait pas compte des autres méthodes d’exploitation, susceptibles de contourner l’atténuation par règle de réécriture des URL créée pour limiter l’impact de ProxyNotShell. En effet, son champ d’action était très limité, pour bloquer spécifiquement l’attaque d’origine. Dans le cas de l’attaque Play Ransomware, les atténuations n’ont jamais été prévues pour bloquer la méthode d’attaque d’OWASSRF. Soyez prudent et ne faites pas trop confiance aux atténuations à long terme, car elles n’ont jamais été conçues en tant que mesures correctives définitives.
Les produits et technologies ont une durée de vie déterminée. À un moment donné, le fournisseur doit aller au-delà de la solution existante, car le coût d’une refonte complète de cette solution pour répondre à des cas d’usage et à des besoins plus modernes devient ingérable. Exchange Server montre bien combien il est dangereux de s’accrocher trop longtemps à une technologie. Les chercheurs en sécurité ont souligné certains risques fondamentaux liés à l’exécution d’Exchange Server. La complexité et les difficultés liées à l’exécution d’une implémentation Exchange Server avec le niveau de sécurité que Microsoft peut offrir via O365 représentent vraiment le compromis clé. OWASSRF et ProxyNotShell sont les plus récentes, mais les exploitations ProxyShell et HAFNIUM, en 2021, ont également montré qu’il est dangereux de continuer à investir dans Exchange Server. Une entreprise peut-elle exécuter une instance sécurisée d’Exchange Server ? Normalement oui, mais des pirates sophistiqués, qui connaissent bien mieux Exchange Server que votre entreprise, continuent à chercher le moyen de passer outre aux mesures de sécurisation de vos services d’e-mail, aussi efficaces soient-elles. Pour évaluer correctement les risques, vous devez être conscient que vous êtes en concurrence avec les efforts conjugués de plusieurs adversaires particulièrement experts. Si votre évaluation des risques ne tient pas compte de cela, votre entreprise risque de continuer à exécuter Exchange Server sur la base d’hypothèses erronées.