Le mois s’annonce douloureux, avec plusieurs exploitations Zero Day résolues par Microsoft, des changements opérationnels chez Kerberos et Netlogon, et une longue série de mises à jour tierces publiées lors du Patch Tuesday de juillet et après.
Comme chaque mois pour les lecteurs de Solutions-Numériques, voici l’analyse de Chris Goettl, Vice President of Product Management chez Ivanti
Changements de Kerberos et Netlogon
Juillet va être un mois assez lourd du point de vue opérationnel. Plusieurs changements prennent effet concernant deux CVE résolues précédemment. La première CVE résolue est une vulnérabilité d’élévation de privilèges dans Kerberos (CVE-2022-37967) et l’autre est une vulnérabilité d’élévation de privilèges dans Netlogon RPC (CVE-2022-38023). Ces deux CVE ont été résolues en 2022, mais le changement de code n’a pas suffi, à lui seul, à résoudre ces vulnérabilités. Microsoft a prévu un déploiement par phases pour la remédiation de ces deux vulnérabilités, car il change certains des comportements au cœur de deux mécanismes d’authentification très populaires.
L’article KB5020805 détaille la chronologie des changements liés à la vulnérabilité Kerberos (CVE-2022-37967). Pour juillet, Microsoft passe en mode Mise en conformité initiale. Les changements précédents ont servi à ajouter la capacité à traiter le contournement de sécurité et la journalisation d’audit afin de savoir si les entreprises possédaient des systèmes nécessitant une intervention pour préparer ce changement. La mise à jour d’OS de juillet adopte par défaut le comportement Mode de mise en conformité, mais elle autorise quand même l’administrateur à passer outre et à définir explicitement le mode Audit. Le 10 octobre 2023, la mise à jour va interdire ce remplacement par l’administrateur et appliquer par défaut la mise en conformité complète.
L’article KB5021130 détaille la chronologie des changements liés à la vulnérabilité Netlogon (CVE-2022-38023). Pour juillet, Microsoft passe en mode Mise en conformité complète. Les changements précédents ont servi à ajouter la capacité à traiter le contournement de sécurité et la journalisation d’audit afin de savoir si les entreprises possédaient des systèmes nécessitant une intervention pour préparer ce changement. La mise à jour de juillet va interdire toute application d’une solution de contournement et autoriser le mode Compatibilité pour le scellement RPC Sealing. Après le déploiement de la mise à jour de juillet, Netlogon va totalement mettre en place RPC Sealing.
Zero Day et divulgations publiques
Microsoft résout exactement 130 nouvelles vulnérabilités ce mois-ci, et fournit des mises à jour pour 9 CVE précédemment résolues. On a confirmé l’exploitation de six CVE et d’un conseil (Advisory). L’une des 6 vulnérabilités exploitées a fait à l’origine l’objet d’une publication en mai et elle est mise à jour ce mois-ci pour traiter toutes les versions de Microsoft Windows.
Microsoft met à jour CVE-2023-24932, vulnérabilité de contournement des fonctions de sécurité qui concerne l’amorçage sécurisé. Cette CVE a initialement été résolue en mai 2023, mais Microsoft étend le nombre des versions d’OS concernées et recommande à ses clients d’appliquer la mise à jour de juillet à toutes les versions de l’OS Windows concernées ce mois-ci. L’exploitation de cette vulnérabilité sur le terrain a été confirmée. Le score de base CVSS v3.1 est de 6,7 et la vulnérabilité est classée Important par Microsoft. Cependant, en raison des exploitations confirmées et de la divulgation publique du code de fonctions, il faut traiter cette vulnérabilité comme étant de niveau Critique.
Microsoft résout une vulnérabilité de contournement des fonctions de sécurité dans Azure Active Directory (CVE-2023-36871). Cette CVE est classée Important et porte le score CVSS v3.1 de base de 6,5, mais les métriques temporelles classent la maturité du code au niveau Fonctionnel. Un pirate aura besoin d’une session à faibles privilèges sur le périphérique de l’utilisateur pour obtenir un jeton Web JSON, qu’il pourra utiliser pour créer une assertion de longue durée avec la clé Windows Hello Entreprise du périphérique de la victime. Dans ce cas, la correction consiste à appliquer la mise à jour de juillet sur tous les serveurs AD FS, puis à définir le paramètre nécessaire pour activer le paramètre EnforceNonceInJWT. La commande PowerShell servant à activer ce paramètre est indiquée dans l’article concernant cette CVE.
Microsoft résout une vulnérabilité de contournement des fonctions de sécurité dans Microsoft Outlook (CVE-2023-35311). L’exploitation de cette vulnérabilité a été confirmée. Le pirate peut envoyer à l’utilisateur une URL spécialement conçue pour contourner l’invite de notification de sécurité Microsoft Outlook. Le volet Aperçu est un vecteur d’attaque pour cette vulnérabilité, mais l’intervention de l’utilisateur est nécessaire. Sachant que l’hameçonnage d’un utilisateur est un défi statistique, le déploiement de ce correctif a un niveau de priorité Critique, même si l’indice de gravité Microsoft est seulement Important.
Microsoft résout une vulnérabilité d’exécution de code à distance dans Office et Windows HTML (CVE-2023-36884). Cette CVE est classée Important mais des rapports confirment son exploitation sur le terrain et le code fonctionnel a été divulgué publiquement pour cette vulnérabilité. Un pirate peut créer un document Microsoft Office spécialement conçu, qui lui permet d’exécuter du code à distance dans le contexte de la victime. Microsoft n’a pas encore publié de mise à jour pour corriger ce problème, mais il fournit une atténuation de niveau configuration pour empêcher les applications Office de créer des processus enfant. L’exécution avec moindres privilèges peut aussi atténuer l’attaque et forcer le pirate à exécuter des exploitations supplémentaires pour élever ses privilèges. Microsoft publie un billet de blog qui décrit les étapes à suivre pour protéger les systèmes jusqu’à ce qu’une correction soit disponible.
Microsoft résout une vulnérabilité d’élévation de privilèges dans Rapport d’erreurs Windows (CVE-2023-36874). Cette CVE est classée Important mais on rapporte certains cas d’exploitation. Un pirate doté d’un accès local sur la machine cible avec la permission de créer des dossiers et un suivi des performances sur cette machine peut obtenir des privilèges Administrateur.
Microsoft résout une vulnérabilité de contournement des fonctions de sécurité dans Windows SmartScreen (CVE-2023-32049). Cette CVE est classée Important, mais Microsoft a confirmé les rapports d’exploitation de cette vulnérabilité, ce qui fait passer son urgence au niveau Critique. Le pirate peut envoyer une URL spécialement conçue, qui lui permet de contourner l’invite Ouvrir un fichier – Avertissement de sécurité et d’avoir l’opportunité d’infecter encore plus le système cible.
Microsoft résout une vulnérabilité d’élévation de privilèges dans Windows MSHTML (CVE-2023-32046). Microsoft classe cette CVE comme Important et signale son exploitation sur le terrain. Un pirate peut cibler l’utilisateur de différentes façons, y compris par e-mail ou via un scénario d’attaque sur le Web. En cas d’exploitation, le pirate obtient les droits de l’utilisateur qui exécute l’application concernée. L’exécution avec moindres privilèges peut donc permettre d’atténuer l’impact de cette vulnérabilité et forcer le pirate à prendre des mesures supplémentaires pour avoir le contrôle total du système cible. Même si IE 11 n’est plus pris en charge, vous constaterez une référence aux mises à jour cumulatives IE dans les listes concernant Windows Server 2008, 2008 R2, 2012 et 2012 R2, car MSHTML, EdgeHTML et les plateformes de scripts sont toujours pris en charge. Si vous installez les mises à jour Sécurité uniquement sur ces plateformes, Microsoft vous recommande d’exécuter également la mise à jour cumulative IE pour entièrement résoudre cette CVE.
Microsoft publie un Advisory (conseil, ADV23001) qui vous informe sur l’utilisation malveillante des pilotes Microsoft signés. Plusieurs comptes de développeur du Microsoft Partner Center (MPC) ont été impliqués dans la soumission de pilotes malveillants pour obtenir une signature Microsoft. Tous les comptes de développeur impliqués dans cet incident ont été immédiatement suspendus. Microsoft a publié des mises à jour de sécurité Window Security (voir la table Mises à jour de sécurité) qui retirent la mention De confiance pour les pilotes et certificats de signature de pilote des fichiers concernés, et a suspendu les comptes de vendeur de ces partenaires. De plus, Microsoft a implémenté des fonctions de détection bloquantes (Microsoft Defender 1.391.3822.0 et supérieur) pour mieux protéger ses clients des pilotes signés légitimement mais utilisés dans un but malveillant lors d’activités après exploitation. Pour en savoir plus sur la façon dont la fonction d’intégrité du code (Windows Code Integrity) protège les clients Microsoft des certificats révoqués, reportez-vous à : (Avis d’ajouts à la liste de révocations Windows Driver.STL – Support Microsoft).
Mises à jour tierces
Mozilla publie des mises à jour pour FireFox et FireFox ESR.
Adobe Acrobat and Reader possède une mise à jour qui ne semble pas liée à la sécurité, mais des mises à jour ont été publiées pour Adobe InDesign et ColdFusion.
Google Chrome devrait être mis à jour le 11 juillet ou juste après.
La mise à jour trimestrielle CPU (Critical Patch Update) d’Oracle doit sortir le 18 juillet, avec des mises à jour pour la série de produits Oracle, y compris Java. Après cette publication Oracle Java, une série de mises à jour supplémentaires sera publiée. RedHat OpenJDK, Amazon Corretto, Azul Zulu, Eclipse Adoptium, Adopt OpenJDK et autres frameworks Java vont tous commencer à se mettre à jour une fois la mise à jour Oracle Java publiée. Ne l’oubliez pas en lançant votre cycle de maintenance du mois.
