Le Patch Tuesday de Microsoft inclut un correctif pour le bogue attaqué • The Register :

L’énorme correctif d’avril de Microsoft inclut un bogue qui a déjà été exploité dans la nature et un second qui a été divulgué publiquement.

Au total, le géant de Redmond a corrigé plus de 100 bogues aujourd’hui, dont 10 vulnérabilités critiques d’exécution de code à distance (RCE).

Mais d’abord : CVE-2022-24521, que les chercheurs en sécurité de la NSA et de CrowdStrike ont signalé à Microsoft, est sous exploitation active. Il s’agit d’une vulnérabilité d’élévation de privilèges qui se produit dans le pilote Windows Common Log File System.

Bien que son score de gravité ne soit pas aussi élevé que certains sur la liste d’aujourd’hui – il a reçu un score CVSS de 7,8 alias “important” – Microsoft a déclaré que la complexité de son attaque était faible. Il peut être utilisé par des logiciels et des utilisateurs malveillants pour obtenir des privilèges de niveau administrateur sur une machine connectée.

Donc cela, combiné au fait qu’il est déjà activement exploité, devrait le placer “en tête de liste des priorités ce mois-ci”, a déclaré Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs. “Comme il s’agit du type de vulnérabilité pour l’escalade des privilèges, cela indiquerait qu’un acteur menaçant l’utilise actuellement pour faciliter le mouvement latéral afin de capitaliser sur un pied préexistant”, a-t-il noté.

Breen a également commenté le nombre élevé de vulnérabilités d’escalade de privilèges que Microsoft a qualifiées d'”exploitation plus probable”.

“Cela témoigne de sa popularité croissante en tant que technique, permettant un mouvement latéral vers des cibles critiques et de grande valeur une fois que les attaquants ont obtenu un accès initial”, a déclaré Breen.

Bien que CVE-2022-24521 ait été exploité, son code d’exploitation n’est pas public, selon Microsoft. L’inverse est le cas pour le trou d’escalade de privilèges CVE-2022-26904, dont l’exploit a été divulgué publiquement bien qu’aucune exploitation malveillante ne se soit encore produite, apparemment.

Cette faille, qui se produit dans le service de profil utilisateur Windows, a reçu un score de gravité CVSS de 7,0, c’est-à-dire important, et Microsoft a classé la complexité de son attaque comme élevée car “l’exploitation réussie de cette vulnérabilité nécessite qu’un attaquant remporte une condition de concurrence”. Cela pourrait expliquer pourquoi personne ne l’a encore exploité. Il peut être abusé pour augmenter les privilèges d’un utilisateur normal.

Dustin Childs de Trend Micro a noté sur le blog Zero Day Initiative qu’il existe non seulement un exploit de preuve de concept pour ce bogue, mais aussi un module Metasploit. Donc, la plupart des démarches ont déjà été faites pour les attaquants potentiels. Les conditions d’exploitation sont un peu compliquées.

Quelques autres bogues notables de haute gravité dans le patch-a-looza d’avril incluent une vulnérabilité RCE d’exécution d’appel de procédure à distance (CVE-2022-26809) et deux vulnérabilités RCE du système de fichiers réseau Windows (CVE-2022-24491 et CVE-2022-24497 ).

Ces trois bogues RCE ont reçu un score CVSS de 9,8, ce qui signifie qu’ils sont à peu près aussi mauvais qu’ils viennent.

CVE-2022-26809, qui a une faible complexité d’attaque, se trouve dans la fonctionnalité Server Message Block (SMB) de Microsoft. Pour exploiter ce bogue, un attaquant enverrait un appel de procédure à distance (RPC) spécialement conçu à une machine hôte RPC, a expliqué Microsoft. “Cela pourrait entraîner l’exécution de code à distance côté serveur avec les mêmes autorisations que le service RPC”, détaille la note de sécurité. Microsoft a également conseillé de bloquer le port TCP 445 au niveau du pare-feu de périmètre pour empêcher de nouvelles attaques provenant d’Internet.

Pendant ce temps, les deux trous du système de fichiers réseau Windows (NFS) (CVE-2022-24491 et CVE-2022-24497) ont également reçu un CVSS de 9,8 et Microsoft a déclaré que l’exploitation était “plus probable”.

“Sur les systèmes où le rôle NFS est activé, un attaquant distant pourrait exécuter son code sur un système affecté avec des privilèges élevés et sans interaction de l’utilisateur”, a noté Childs. “Encore une fois, cela s’ajoute à un bogue wormable – au moins entre les serveurs NFS.”

Ces vulnérabilités seraient attrayantes pour les opérateurs de rançongiciels car elles ont le potentiel d’exposer des données critiques, a ajouté Breen.

Adobe rejoint la fête des correctifs :

Adobe a également publié une tonne de correctifs lors de son événement de correctif d’avril.

Au total, il a publié quatre mises à jour qui corrigent 78 vulnérabilités dans ses produits Acrobat et Reader, Photoshop, After Effects et Adobe Commerce.

La plupart d’entre eux se trouvent dans Adobe Acrobat et Reader et corrigent 62 vulnérabilités critiques, importantes et modérées sur Windows et macOS. S’ils sont exploités, ils pourraient permettre l’exécution de code arbitraire, des fuites de mémoire, le contournement des fonctionnalités de sécurité et l’élévation des privilèges, selon Adobe.

L’initiative Zero Day a noté que les bogues les plus graves ici sont les vulnérabilités critiques d’utilisation après libération () et d’écriture hors limites. “Ceux-ci pourraient permettre à un attaquant d’exécuter du code sur un système cible s’il parvient à convaincre un utilisateur d’ouvrir un document PDF spécialement conçu”, a écrit Childs.

Google met à jour Android, Cisco toujours aux prises avec Spring Framework :

Pendant ce temps, Google a corrigé 44 vulnérabilités dans sa mise à jour Android d’avril au début du mois.

Le bogue le plus grave du groupe est une faille de haute gravité dans Framework qui pourrait permettre à un attaquant d’élever ses privilèges sans avoir besoin de privilèges d’exécution supplémentaires, selon l’avis de sécurité.

Aujourd’hui également, Cisco a mis à jour un avis de sécurité qui corrige une vulnérabilité critique dans Spring Framework. CVE-2022-22965, qui a reçu un score de gravité CVSS de 9,8, affecte une longue liste de produits Cisco – sans parler d’un grand nombre de produits d’autres fournisseurs qui utilisent le framework Spring open source.

Depuis que la vulnérabilité Java RCE a été découverte pour la première fois le mois dernier, c’est une course entre les défenseurs, qui tentent de corriger les produits bogués, et les attaquants qui tentent d’exploiter les failles de ces produits et de libérer tous les types de logiciels malveillants.

Comme Cisco l’a noté dans sa mise à jour de sécurité : “L’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) est consciente qu’un code d’exploitation de preuve de concept est disponible pour la vulnérabilité décrite dans cet avis.” ® :

Leave a Comment