Microsoft résout un total de 55 CVE avec le Patch Tuesday de novembre, dont 6 sont de type Critique. Cette série de mises à jour inclut les publications habituelles pour l’OS Windows, Office, Azure et certains outils de développement comme Visual Studio. L’analyse de Chris Goettl, directeur sénior Gestion produits et sécurité chez Ivanti.
La section la plus pénible va sans doute être la mise à jour d’Exchange, qui contient ce mois-ci un correctif pour l’une des deux vulnérabilités déjà exploitées. En plus des deux vulnérabilités Zero Day, on compte aussi quatre vulnérabilités divulguées publiquement. Commençons par celles qui présentent le plus de risques : les deux Zero Day.
Exchange Server
Microsoft résout une vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server (CVE-2021-42321), dont l’exploitation sur le terrain a été confirmée. Cette vulnérabilité est classée Important par Microsoft, sans doute parce qu’il faut que le pirate s’authentifie pour être à même de l’exploiter. C’est un bon exemple, qui montre les limites de la gravité et du score CVSS attribués par le fournisseur, et prouve qu’il faut bien plus d’informations pour vraiment connaître les éléments à prioriser. Les mises à jour Exchange doivent souvent être testées davantage par les Admins Exchange, mais l’existence d’une exploitation sur le terrain force ces administrateurs à corriger plus rapidement cette vulnérabilité.
Excel
Microsoft résout une vulnérabilité de contournement des fonctions de sécurité dans Microsoft Excel (CVE-2021-42292), dont l’exploitation sur le terrain a été confirmée. Cette exploitation n’exige pas d’authentification mais elle nécessite une interaction avec l’utilisateur. Le volet d’aperçu n’est pas vecteur d’attaque dans ce cas précis.
RDP
Microsoft résout deux vulnérabilités de divulgation d’informations dans RDP, le protocole de Bureau à distance (CVE-2021-38631 et CVE-2021-41371). Elles pourraient permettre à un administrateur de serveur RDP de lire les mots de passe de client RDP Windows. Ces deux CVE ont fait l’objet d’une divulgation publique, mais aucune exploitation n’a été observée pour le moment. Ces vulnérabilités sont seulement classées au niveau Important. Le fait que le pirate doit être administrateur RDP pour exploiter la divulgation d’informations peut vous faire penser qu’il s’agit de CVE à faible priorité, mais elles peuvent permettre à un pirate interne d’accéder à des références d’authentification utilisateur qu’il ne devrait pas connaître, par exemple.
Visionneuse 3D
Microsoft résout deux vulnérabilités d’exécution de code à distance dans la visionneuse 3D (CVE-2021-43209 et CVE-2021-43208), qui ont été divulguées publiquement. La visionneuse 3D est une appli Microsoft Store, qui devrait se mettre à jour automatiquement. Vous pouvez vérifier le paquet avec PowerShell pour vous assurer que la mise à jour a bien été appliquée. La visionneuse 3D est l’une des applis installées par défaut pour toute nouvelle installation de Windows, mais Microsoft a annoncé que les nouvelles installations utilisant Windows 10 build 21332 ou supérieur n’installeraient plus Paint 3D ni la visionneuse 3D par défaut.
Ce mois-ci, l’urgence porte sur les mises à jour Exchange et Office, pour résoudre les deux vulnérabilités Zero Day. Au-delà de ces mises à jour, il existe une réponse plus large à des vulnérabilités connues pour être populaires chez les pirates. BOD 22-01 a été créé pour amener les institutions fédérales à corriger les vulnérabilités activement exploitées, mais toutes les entreprises devraient y voir un bon conseil pour améliorer leurs processus de gestion des vulnérabilités.
287 CVE
Les entreprises qui adoptent une approche de la gestion des vulnérabilités basée sur les risques reconnaîtront les vulnérabilités qui figurent dans ce type de liste comme faisant partie de leur routine quotidienne de gestion des vulnérabilités. L’analyse des vulnérabilités sur la base des risques que fournit la directive DHS CISA aide à prioriser les mesures correctives que les entreprises doivent prendre, en commençant par les menaces les plus sévères :
- L’alerte concerne un total de 287 CVE.
- 32 font partie des tendances des 30 derniers jours, pendant que les pirates se concentrent sur la définition des cibles et l’avancement de leurs tactiques.
- 53 CVE sont activement utilisées par des groupes de pirates utilisant le ransomware.
- 54 CVE sont utilisées par des auteurs de malware.
- 87 CVE permettent d’exécuter du code à distance.
- 166 CVE ont été transformées en armes.
Il faut vraiment cibler les types Trending (Tendances), Ransomware, Malware, RCE (Exécution de code à distance) et Weaponized (Changé en arme). Une solution de gestion des vulnérabilités sur la base des risques vous fournit ce type d’analyse dès son installation, ce qui vous permet de prioriser les opérations rapidement et efficacement.
