Microsoft résout 129 CVE uniques en ce mois de juin, mais il n’y a aucune CVE exploitée ou divulguée publiquement qui doive vous inquiéter. Mais faites attention à la CVE-2020-0796… L’analyse de Todd Schell, Senior Product Manager, Security chez Ivanti.
Cela fait quatre mois que plus de 100 CVE sont résolues lors du Patch Tuesday. La bonne nouvelle, c’est que 98 d’entre elles sont résolues par le déploiement des mises à jour de l’OS et des navigateurs. Les 31 autres se répartissent entre Office, SharePoint, Defender, Endpoint Protection et des outils de développement comme Visual Studio, ChakraCore et Azure Dev Ops. Au total, 11 CVE sont marquées Critique. Adobe publie aussi une mise à jour de sécurité pour Flash Player ce mois-ci ! Oui, une seule CVE de type Critique est résolue ce mois-ci dans Flash Player, alors assurez-vous qu’elle figure dans votre liste de mises à jour pour juin.
Attention à la CVE-2020-0796
Un avis de l’US-CERT vous demande de prêter particulièrement attention à la CVE-2020-0796, résolue en mars 2020. Cette CVE a été divulguée publiquement avant la publication de la mise à jour en mars et il existe désormais des échantillons de code POC (Proof of Concept – Validation de principe) capables d’exploiter cette vulnérabilité sur les systèmes sans correctif. Cette vulnérabilité a été introduite sur les systèmes Windows 10 1903 et supérieurs dans une version mise à jour de SMBv3. Certaines options de limitation des risques sont disponibles spécialement pour bloquer le trafic SMB à la périphérie du réseau. Pour corriger cette vulnérabilité, assurez-vous que vous disposez de la mise à jour d’OS de mars (ou plus récente) pour Windows 10 1903 et supérieur. En comptant la mise à jour de juin, les 4 dernières mises à jour d’OS incluent ce correctif. Cette vulnérabilité est un « fruit poussant à portée de main », facile à résoudre dans la plupart des cas.
L’avis de l’US-CERT met en évidence des statistiques intéressantes sur la vitesse à laquelle les pirates parviennent à développer des exploitations fonctionnelles, et sur la durée de vie moyenne de ces exploitations. D’après un rapport RAND, le délai moyen avant exploitation d’une vulnérabilité est de 22 jours. En 2019, nous avons eu un aperçu frappant de ce processus, lorsque la vulnérabilité BlueKeep (CVE-2019-0708) a été annoncée et qu’une course très publique s’est engagée entre les chercheurs du domaine de la sécurité pour exploiter le prochain « WannaCry ». La mise à jour BlueKeep a été publiée le 14 mai 2019. Des exploitations fonctionnelles avaient été créées par plusieurs équipes de recherche indépendantes le 28 mai 2019, seulement 14 jours plus tard. Autre statistique intéressante du rapport RAND : la durée de vie moyenne d’une exploitation est d’environ 7 ans. Pour preuve, consultez le rapport publié par Recorded Future concernant les 10 principales vulnérabilités exploitées en 2019. Un grand nombre des vulnérabilités de ce Top 10 ont deux ou trois ans, mais CVE-2015-2419 et CVE-2012-0158 figurent aussi dans la liste.
Pour conclure ce mois de juin, examinons la situation concernant Windows 10 2004. La dernière branche Windows est disponible depuis déjà un mois, et un certain nombre de problèmes connus ont été signalés. J’ai lu les rapports d’incident des membres de PatchManagement.org, au fur et à mesure qu’ils distribuaient cette nouvelle branche à leurs groupes pilotes. Vous trouverez également une liste exhaustive sur docs.microsoft.com répertoriant les problèmes actuellement connus et résolus.
Des difficultés pour les mises à jour
Le passage au télétravail pose des problèmes aux entreprises qui tentent de tenir le rythme pour déployer les correctifs de façon cohérente. De nombreuses entreprises utilisent des solutions de gestion des correctifs dont la mise à jour nécessite un VPN (réseau privé virtuel). Il existe un grand nombre de solutions capables de gérer les mises à jour sans VPN.
Autre difficulté pour les entreprises : la connectivité des utilisateurs. J’ai discuté avec une entreprise qui gère les mises à jour sans avoir besoin d’un VPN pour accéder au réseau. Son problème, c’est que ses utilisateurs ont des connexions Internet bas débit. Les mises à jour mensuelles impliquent des centaines de mégaoctets de correctifs (voire parfois plusieurs gigaoctets), ce qui est également problématique.
