Microsoft publie des mises à jour pour l’OS Windows, Office et O365, Exchange Server, Edge (Chromium), Visual Studio, Azure DevOps, Azure AD Web Sign-in, Azure Sphere, ainsi que de nombreux autres composants. Un total de 110 vulnérabilités uniques sont résolues ce mois-ci. Chris Goettl, Manager of Product Management, Security chez Ivanti, nous livre en exclusivité son analyse du Patch Tuesday d’avril
Parmi ces vulnérabilités, citons une vulnérabilité Zero Day (CVE-2021-28310) et quatre vulnérabilités divulguées publiquement (CVE-2021-28458, CVE-2021-28437, CVE-2021-28312, CVE-2021-27091). 19 de ces CVE sont classées « Critique », mais cela n’inclut pas la vulnérabilité Zero Day Win32k.
Les publications Microsoft
Zero Day – Microsoft résout une vulnérabilité Win32k classée « Important », qui peut permettre l’élévation de privilèges sur les systèmes Windows 10 (CVE-2021-28310). Même si elle est seulement de niveau « Important », cette vulnérabilité a été détectée lors d’attaques en environnement réel. Le site de détails des exploitations Open Source attackerkb.com montre cette CVE comme réservée et mise à jour pour la dernière fois le 12 mars 2021. Elle pourrait donc avoir été exploitée par des pirates depuis un mois, à ce jour. Cela montre à quel point il est important d’adopter une approche qui définit des priorités sur la base des risques. Si vous établissez votre ordre de priorité sur le niveau de gravité attribué par le fournisseur et que vous ne tenez compte que des CVE marquées « Critique », vous risquez de manquer celle-ci. Heureusement pour les entreprises concernées, cette CVE est incluse dans la mise à jour cumulative Windows 10 ce mois-ci (aux côtés de CVE critiques). L’élargissement de vos mesures de définition des priorités pour inclure des métadonnées de risques (comme le nombre d’exploitations, de divulgations publiques et autres indicateurs) garantit que vous donnez la priorité aux meilleures mises à jour pour les corriger rapidement.
Divulgations publiques – Il existe une vulnérabilité dans Windows Installer, susceptible de mener à la divulgation d’informations : CVE-2021-28437. Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d’informations ont été communiquées au public pour donner aux pirates le temps de développer un code d’exploitation fonctionnel. Cette CVE affecte tous les systèmes d’exploitation Windows, en remontant jusqu’à Windows 7 et Server 2008. Les vulnérabilités de divulgation d’informations Windows Installer permettent souvent à un pirate d’obtenir un accès à des informations supplémentaires, qui risquent de compromettre encore davantage le système. Il s’agit d’une CVE de catégorie « Important ». Le code d’exploitation était marqué non prouvé lors de la publication.
Divulgations publiques – Il existe dans le service de mappage de poste client RPC une vulnérabilité susceptible de permettre à un pirate d’élever ses privilèges (CVE-2021-27091). Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d’informations ont été communiquées au public pour donner aux pirates le temps de développer un code d’exploitation fonctionnel. Cette CVE affecte les systèmes Windows 7, Server 2008 R2 et Server 2012 les plus anciens. Cette CVE est classée « Important », mais l’on dispose d’un code POC (Proof of Concept – Validation de principe) qui pourrait permettre à un pirate de développer rapidement une exploitation fonctionnelle.
Divulgations publiques – Une vulnérabilité d’élévation des privilèges a été identifiée dans la bibliothèque Azure ms-rest-nodeauth (CVE-2021-28458). Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d’informations ont été communiquées au public pour donner aux pirates le temps de développer un code d’exploitation fonctionnel. Cette vulnérabilité a été classée « Important ». Au moment où nous écrivons, aucun autre article ou note de publication n’est lié à cette CVE.
Divulgations publiques – Il existe une vulnérabilité dans Windows NTFS, susceptible de permettre une attaque par déni de service CVE-2021-28312. Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d’informations ont été communiquées au public pour donner aux pirates le temps de développer un code d’exploitation fonctionnel. Cette CVE affecte Windows 10 1809, et Server 2019 et supérieur. Cette CVE est seulement considérée comme modérée, mais un code d’exploitation entièrement fonctionnel est disponible. Vous devez traiter cette CVE comme représentant davantage de risques que ne l’implique son niveau de gravité.
Exchange Server – Microsoft Exchange Server bénéficie d’une autre mise à jour ce mois-ci et, d’après les résultats de Pwn2Own (ndlr, fameux concours annuel de hackers qui s’est terminé la semaine dernière), il y en aura sans doute d’autres. Les quatre CVE résolues ce mois-ci ont toutes été découvertes par la NSA. Ces quatre CVE sont toutes de niveau « Critique ». À ce jour, aucune n’a fait l’objet d’une exploitation prouvée, mais, après un regain d’activité des exploitations graves visant Microsoft Exchange, l’on peut s’attendre à ce que, si les analystes de sécurité de la NSA trouvent de nouvelles vulnérabilités et que les chercheurs prouvent l’existence de nouvelles exploitations dans le secteur Pwn2Own, les pirates vont aussi tourner autour de Microsoft Exchange pour trouver des failles à exploiter.
Peu d’activité ce mois-ci concernant les mises à jour tierces
Ce mois-ci, Adobe publie quatre mises à jour pour Photoshop, Digital Editions, Bridge et Robohelp, toutes classées « Priorité 3 ». Ces quatre mises à jour résolvent un total de 10 CVE. Toutes, sauf la mise à jour RoboHelp, incluent des CVE critiques.
Le raisonnement sous-jacent pour la définition des priorités Adobe est le suivant : cette mise à jour résout des vulnérabilités dans un produit qui n’a jamais été une cible pour les pirates dans le passé. Adobe recommande aux administrateurs d’installer cette mise à jour, à leur seule discrétion.
C’est l’une des difficultés des scores de gravité attribués par les fournisseurs : comme ces applications sont moins susceptibles d’être ciblées par les pirates, Adobe attribue à leurs vulnérabilités un niveau de priorité plus faible, quels que soient le nombre de vulnérabilités résolues et le danger que représentent ces vulnérabilités. Même si l’histoire justifie l’approche d’Adobe, cela n’exclut pas les risques. Au fil des années, jusqu’à neuf CVE Photoshop ont été exploitées. Les plus récentes sont les CVE de 2015. Parmi ces quatre mises à jour, Photoshop présente le plus de risques. Mais elles ont toutes un niveau de risque faible et peuvent être appliquées au cours des sessions de maintenance régulières.
Vos priorités ce mois-ci
De nombreuses vulnérabilités sont résolues ce mois-ci. La bonne nouvelle, c’est que la plupart concernent l’OS, y compris la Zero Day et trois des quatre vulnérabilités divulguées publiquement. En traitant rapidement l’OS, vous éliminerez une bonne partie des risques du mois. Vos principales priorités ce mois-ci doivent être l’OS Windows, Edge (Chromium) et Exchange Server.
