Comme chaque mois, retrouvez l’analyse du Patch Tuesday par Chris Goettl, Director Product Management Security chez Ivanti. Votre principale priorité doit être l’application des mises à jour de l’OS Windows et d’IE, et vous devez vous assurer que la mise à jour Google Chrome de la semaine dernière est appliquée dès que possible.
Au moment où tombe le Patch Tuesday de mars, coïncidence : je suis dans une salle pleine d’administrateurs IT qui parlent des meilleures pratiques de la gestion des correctifs. L’une de ces meilleures pratiques se trouve être la suivante : s’assurer que vos sources de données sont bonnes. Nous avons vu ces derniers mois des vulnérabilités qui étaient classées seulement au niveau « Important » mais qui ont été activement exploitées. Nous conseillons donc de ne pas se reposer uniquement sur le niveau de gravité indiqué, ni même sur le score CVSS pour décider des éléments à déployer dans votre environnement. Les vulnérabilités exploitées, divulguées publiquement et ciblées par l’utilisateur doivent également être prises en compte.
Pour ce mois de mars, Microsoft résout 64 CVE uniques. Deux d’entre elles ont été détectées dans des attaques actives et 4 ont été divulguées publiquement, ce qui signifie qu’un nombre suffisant d’informations a été communiqué au public pour donner aux pirates le temps de développer un code d’exploitation pour ces vulnérabilités.
Les mises à jour Microsoft affectent l’OS Windows, Internet Explorer et Edge, Office (365 semble très vulnérable ce mois-ci) et Sharepoint. Il semble que le flux des mises à jour .Net et Exchange de ces derniers mois ait pris fin, si bien que le Patch Tuesday est plus léger ce mois-ci. Cependant, il reste un sentiment d’urgence, surtout concernant les mises à jour de l’OS et d’IE. Voici le détail des vulnérabilités « zero day » et à divulgation publique.
- Il existe sous Windows une vulnérabilité d’élévation des privilèges Win32k (CVE-2019-0797), qui permet à un pirate d’exécuter un code arbitraire en mode Noyau (kernel). Cette CVE affecte Windows 8.1, 10, Server 2012, 2012 R2, ainsi que les éditions Server 1709, 1803, 2016 et 2019. Cette vulnérabilité est seulement de niveau « Important », probablement parce qu’il faut d’abord que le pirate se connecte au système, mais cette vulnérabilité a été détectée dans des attaques réelles. Cela est lié à la vulnérabilité CVE-2019-5786 de Google Chrome : cette vulnérabilité de l’OS a permis de s’évader de la sandbox de sécurité conçue pour empêcher les sessions de navigateur d’interagir avec l’OS.
- Il existe sous Windows une vulnérabilité d’élévation des privilèges Win32k (CVE-2019-0808), qui permet à un pirate d’exécuter un code arbitraire en mode Noyau (kernel). Cette CVE porte sur Windows 7, et les éditions Server 2008 et 2008 R2. Cette vulnérabilité de niveau Important – il faut d’abord que le pirate se connecte au système – a été détectée dans des attaques réelles. Cela est lié à la vulnérabilité CVE-2019-5786 de Google Chrome : cette vulnérabilité de l’OS a permis de s’évader de la sandbox de sécurité conçue pour empêcher les sessions de navigateur d’interagir avec l’OS.
- Il existe une vulnérabilité d’exécution à distance de code Visual Studio (CVE-2019-0809) dans Visual Studio C++ Redistributable Installer. Elle pourrait permettre l’exécution de code à distance si une DLL malveillante est introduite sur le système local et si l’utilisateur est convaincu d’exécuter le fichier exécutable du programme.
- Il existe une vulnérabilité d’élévation des privilèges Active Directory (CVE-2019-0683) dans la forêt Active Directory, en raison d’un paramètre par défaut qui permet à un pirate d’accéder à la délégation de demande de forêt de confiance d’un TGT pour une identité depuis la forêt de confiance.
- Il existe une vulnérabilité d’altération du paquet NuGet (CVE-2019-0757) dans NuGet Package Manager pour Linux et Mac, qui peut permettre à un pirate authentifié de modifier un paquet NuGet afin de modifier les fichiers et dossiers décompactés sur un système. Le pirate devra se connecter au système concerné et modifier le contenu de dossier du paquet avant la construction ou l’installation d’une application.
- Il existe sous Windows une vulnérabilité de déni de service (CVE-2019-0754), qui permet à un pirate d’empêcher le système de répondre. Il faudrait que le pirate se connecte au système concerné, puis exécute un fichier spécialement créé à cet effet afin d’exploiter la vulnérabilité.
- Les systèmes autres que Microsoft
Une mise à jour Adobe Flash a été publiée mais sans aucune vulnérabilité de sécurité. Google Chrome s’est manifesté assez tard et résout 60 vulnérabilités. Si on y ajoute la vulnérabilité « zero-day » (CVE-2019-5786) résolue le 1er mars, Chrome doit être sur la liste des priorités ce mois-ci.
-> Nos conseils pour ce mois de mars
Votre principale priorité doit être l’application des mises à jour de l’OS Windows et d’IE.
Vous devez vous assurer que la mise à jour Google Chrome de la semaine dernière est appliquée dès que possible.
Cela éliminera les trois CVE « zero-day » concernant les vulnérabilités d’élévation des privilèges Win32k.sys déjà exploitées pour des attaques, ainsi que deux des vulnérabilités à divulgation publique.
