Patch Tuesday de novembre 2022 : six vulnérabilités Zero Day à traiter ce mois-ci

AVIS D’EXPERT – Microsoft publie un très grand nombre de mises à jour pour le Patch Tuesday de ce mois de novembre. Non seulement il corrige la paire de vulnérabilités Zero Day ProxyNotShell, mais il résout 4 autres vulnérabilités de même type, soit un total de six vulnérabilités Zero Day à traiter ce mois-ci. Pour les lecteurs de Solution Numériques, voici l’analyse de L’analyse de Chris Goettl, Vice President of Product Management chez Ivanti.

Microsoft résout ou republie un total de 81 CVE ce mois-ci. 65 de ces CVE sont résolues pour la première fois. 16 font l’objet d’une mise à jour ce mois-ci mais ont déjà été publiées. 10 de ces 80 CVE sont marquées Critique.

Vulnérabilités Zero Day

Microsoft résout une paire de vulnérabilités Zero Day dans Microsoft Exchange Server. Surnomées ProxyNotShell, CVE-2022-41040 (EP) et CVE-2022-41082 (RCE) ont été signalées au grand public pour la première fois le 29 septembre 2022. Microsoft avait fourni des mises à jour de remédiation de ces vulnérabilités, notamment via la désactivation de l’accès PowerShell à distance pour les utilisateurs non-Admins et des règles de réécriture des URL. Ces remédiations ont été modifiées plusieurs fois au début, mais se sont stabilisées quelques semaines plus tard. Et, pour sa publication du Patch Tuesday du 8 novembre 2022, Microsoft met à jour ses conseils aux clients dans le MSRC (Centre de réponse aux problèmes de sécurité Microsoft) afin de recommander aux clients exécutant Microsoft Exchange Server sur site de mettre à jour immédiatement les systèmes concernés.

Microsoft résout une vulnérabilité d’élévation des privilèges (EP) dans le service Windows Isolation de clé CNG (CVE-2022-41125), qui affecte Windows 8.1, Server 2012 et les éditions plus récentes de l’OS Windows. Cette CVE est classée Important mais elle a été détectée dans des attaques sur le terrain. Cette élévation de privilèges pourrait permettre à un pirate d’accéder aux privilèges SYSTEM sur la cible visée.

Microsoft résout aussi une vulnérabilité d’élévation des privilèges dans le spouleur d’impression Windows (CVE-2022-41073), qui affecte toutes les versions de l’OS Windows. Cette CVE est classée Important mais elle a été détectée dans des attaques sur le terrain. Cette élévation de privilèges pourrait permettre à un pirate d’accéder aux privilèges SYSTEM sur la cible visée. Depuis la découverte de PrintNightmare (CVE-2021-1675) en juin 2021, les interactions avec le spouleur d’impression Windows ont connu de nombreux changements. De nombreuses entreprises ont été impactées par les mises à jour du spouleur pour éliminer PrintNightmare. Depuis, elles ont fait encore plus d’efforts pour inclure dans leurs groupes pilotes les applications essentielles aux activités qui étaient concernées par les mises à jour du spouleur d’impression. Comme toujours, gardez un œil sur le test de ces applications ce mois-ci, et contactez proactivement les utilisateurs de ces groupes pilots pour vérifier rapidement que la mise à jour d’OS du mois ne provoque aucune perturbation. En raison des multiples vulnérabilités Zero Day des mises à jour d’OS du mois, tout retard dans le déploiement expose les entreprises au danger plus longtemps.

Microsoft résout une vulnérabilité de contournement de fonction de sécurité (SFB) dans Windows Mark of the Web (CVE-2022-41091), qui affecte Windows 8.1, Server 2012 et les éditions plus récentes de l’OS Windows. Cette CVE est classée Important mais elle a été détectée dans des attaques sur le terrain et divulguée publiquement. En l’exploitant, un pirate peut impacter l’intégrité et la disponibilité de fonctions de sécurité comme le mode Protégé de Microsoft Office. Plusieurs des vulnérabilités exploitées ce mois-ci sont seulement classées Important, mais cette CVE illustre bien pourquoi une approche RBVM (Gestion des vulnérabilités basée sur les risques) est indispensable pour comprendre les vrais dangers du terrain. CVE-2022-41091 porte seulement un score CVSS v3.1 de base égal à 5,4. En elle-même, cette vulnérabilité ne paraît pas très dangereuse, mais les pirates y ont trouvé quelque chose d’assez intéressant pour prendre le temps de créer une exploitation et de l’utiliser sur le terrain. Il faut considérer cela comme la première étape d’un processus visant à prendre le contrôle du système. Cette CVE permet potentiellement à un pirate d’empêcher toute utilisation d’une fonction de sécurité comme le mode Protégé de Microsoft Office. S’il parvient à cibler une autre CVE nécessitant l’ouverture d’un e-mail pour exécuter du code à distance, par exemple, alors ce code peut exploiter une CVE permettant au pirate d’obtenir des privilèges SYSTEM sur le système visé. Il s’agit ici de chaînage des attaques, qui rend même les CVE les plus bénignes très dangereuses, car elles sont intégrées à une attaque qui combine trois ou quatre CVE.

Microsoft résout une vulnérabilité d’exécution de code à distance (RCE) dans les langages de script Windows (CVE-2022-41128), qui affecte toutes les versions de l’OS Windows. Cette CVE est classée Critique et elle a été détectée dans des attaques sur le terrain. Cette vulnérabilité impacte particulièrement le langage JScript9 et, bien que le pirate doive héberger un serveur malveillant et convaincre les utilisateurs d’accéder à son contenu, l’ingénierie sociale est une compétence que les pirates maîtrisent parfaitement, et il leur suffit d’un jeu de chiffres pour convaincre quelqu’un de cliquer au mauvais endroit. Voilà un exemple récent : La base de collaborateurs des États-Unis fait actuellement l’objet d’une inscription ouverte aux prestations de soins de santé pour 2023. Cela signifie que nous sommes tous bombardés de documentation et d’actions à effectuer. Au cours de la semaine dernière, mon équipe de responsables produit a constaté trois tentatives distinctes d’hameçonnage liées aux prestations sociales, via des e-mails DocuSign avec des liens à cliquer. Nous avons eu la chance que ces tentatives soient déjouées par des collaborateurs attentifs, mais imaginez quelqu’un qui panique davantage à propos de ses prestations ? Ce serait très facile de cliquer avant de se demander pourquoi le document émane du mauvais fournisseur de soins de santé. La mention « Interaction utilisateur requise » rend souvent la vulnérabilité plus facile à exploiter pour les pirates, car ils peuvent manipuler une personne assez facilement.

Microsoft résout une vulnérabilité d’usurpation d’identité (spoofing) dans Microsoft Endpoint Configuration Manager (CVE-2022-37972). Cette vulnérabilité affecte toutes les versions de MECM prises en charge, mais elle est disponible uniquement pour les versions prises en charge 2103 à 2207. Microsoft précise que les clients utilisant des versions antérieures à 2103 doivent les mettre à niveau vers une version prise en charge. Dans son article sur la CVE, Microsoft n’est pas très clair concernant ce que la vulnérabilité d’usurpation d’identité permet exactement aux pirates de contourner ou de falsifier, mais en examinant de plus près l’article KB 15498768, il semble que le pirate pourrait contourner une action afin de désactiver l’option « Autoriser le basculement de la connexion vers NTLM » dans les propriétés d’installation du client en mode Push, dans certaines conditions. Cette CVE n’est pas activement exploitée, mais le code POC (Proof of Concept – Validation de principe) a été divulgué publiquement. Ainsi, une bonne partie du processus d’exploitation de cette vulnérabilité a déjà été communiquée à une large audience. Cette CVE est classée Important mais son score CVSS v3.1 de base est de 9,8.

Recommandation de priorisation basée sur les risques 

La priorisation basée sur les risques est indispensable pour correctement prioriser et traiter les nombreuses menaces auxquelles nous sommes confrontés tous les jours du point de vue de la cybersécurité. En appliquant cette approche de RBVM aux CVE du mois, voilà trois opérations à exécuter pour éliminer la majorité des risques dans votre environnement :