Dans l’hémisphère Nord, avril est souvent considéré comme le mois du renouveau printanier… et du grand nettoyage de printemps. Il semble que le Patch Tuesday d’avril entretienne cette tradition séculaire, puisque Spring4Shell continue à attirer l’attention à la fois des pirates et des fournisseurs. Voici l’analyse de Chris Goettl, directeur senior Gestion produits et sécurité chez Ivanti.
Les pirates exploitent la vulnérabilité Spring4Shell pour répandre le malware Mirai Botnet. Les attaques observées par Trend montrent que les cybercriminels ciblent les systèmes configurés avec Spring Framework en version antérieure à 5.2.20, 5.3.18, JDK version 9 ou supérieur, et Apache Tomcat.
Les mises à jour Apache Tomcat publiées le 1er avril résolvent CVE-2022-22965. D’autres fournisseurs, notamment VMware, ont également publié des mises à jour et des fournisseurs comme Microsoft ont publié des consignes pour se protéger de Spring4Shell. Veillez à prendre le temps d’évaluer l’exposition de votre entreprise à Spring4Shell (CVE-2022-22965) et de déployer les dernières mises à jour publiées si nécessaire.
Début avril, l’on a vu apparaître plusieurs mises à jour d’application tierce. La mise à jour Mozilla Firefox 99 est sortie le 5 avril. Elle résout 11 problèmes de sécurité, dont 3 CVE de gravité Élevé. La mise à jour Google Chrome publiée le lundi 11 avril résout 11 problèmes de sécurité, dont 8 CVE de gravité Élevé.
Pour le Patch Tuesday d’avril, Adobe publie APSB22-16 pour Adobe Acrobat & Reader, qui résout 62 CVE uniques, dont 35 sont marquées Critique.
117 nouvelles CVE uniques
Microsoft résout 117 nouvelles CVE uniques et complète son correctif pour 2 CVE plus anciennes dans ce Patch Tuesday d’avril, et 9 de ces nouvelles CVE sont classées Critique. On compte aussi une CVE publiquement divulguée (CVE-2022-26904) et une CVE exploitée (CVE-2022-24521) ce mois-ci. La bonne nouvelle, c’est que 8 des CVE critiques, ainsi que les deux vulnérabilités ci-dessus (publiquement divulguées et exploitées) sont couvertes par la mise à jour d’OS Windows du mois. Vous pouvez atténuer presque tous les risques ce mois-ci en mettant à jour l’OS Windows, Adobe Acrobat and Reader, Google Chrome et Mozilla Firefox.
La mise à jour CPU (Critical Patch Update) trimestrielle d’Oracle sortira le 19 avril. Ne l’oubliez pas dans votre maintenance des correctifs du mois.
CVE-2022-24521, activement exploitée
Microsoft résout une vulnérabilité Zero Day (CVE exploitée sur le terrain avant qu’une mise à jour ne soit publiée) ce mois-ci. CVE-2022-24521 est une vulnérabilité d’élévation de privilèges du pilote du système commun de journalisation Windows, qui affecte toutes les versions du système d’exploitation Windows. Cette vulnérabilité est seulement classée Important, alors que l’on sait qu’elle est activement exploitée. Les entreprises qui adoptent une approche basée sur les risques pour prioriser les vulnérabilités ont un avantage sur celles qui se fient uniquement aux scores CVSS et de gravité fournisseur, car ces scores peuvent être trompeurs. En effet, leurs algorithmes ne tiennent pas suffisamment compte des indicateurs de risques sur le terrain. Seule, cette vulnérabilité d’élévation des privilèges ne représente pas forcément un grand danger, mais associée à d’autres vulnérabilités, elle pourrait devenir très puissante. La surveillance des exploitations, de l’utilisation dans des familles de malwares et de ransomwares, et des tendances des CVE sont des mesures supplémentaires utilisées dans les systèmes de priorisation des vulnérabilités sur la base de risques, pour mieux évaluer le danger.
Microsoft résout une vulnérabilité à divulgation publique ce mois-ci. La divulgation publique est un indicateur de risque. Cela signifie qu’assez d’informations ont été communiquées au public avant ou en même temps que la publication du correctif pour (souvent) donner aux pirates les moyens de créer une exploitation malveillante bien avant que les responsables de la sécurité n’aient éliminé la vulnérabilité. CVE-2022-26904 est une vulnérabilité d’élévations des privilèges du service de profil d’utilisateur Windows. La maturité du code d’exploitation de cette CVE est classé Fonctionnel, ce qui signifie que des échantillons de code opérationnel ont également été divulgués. Les pirates ont ainsi un temps d’avance pour développer une exploitation dangereuse. Cette vulnérabilité concerne toutes les versions du système d’exploitation Windows.
Zones à tester soigneusement
Ce mois-ci, 15 CVE sont résolues pour le spouleur d’impression. Lors du Patch Tuesday de février, les mises à jour résolvaient 5 CVE du spouleur d’impression et on a constaté un impact chez plusieurs fournisseurs d’imprimantes. 15 CVE représentent d’importantes modifications du code et cela exige que vous y prêtiez particulièrement attention pour vos tests du mois.
Les mises à jour du mois résolvent 18 CVE du serveur DNS Windows. Vos tests doivent donc être particulièrement poussés, en raison du nombre de changements dans le code.
