Microsoft a été tellement pressé de publier un correctif pour #printNightmare, qu’il n’a pas attendu toutes les versions. « Updates are not yet available for Windows 10 1607, Server 2016, or Server 2012 ». Quoi qu’il en soit, il reste moins d’une semaine dans le cycle normal de juillet et il est possible que le correctif soit complet d’ici là.
Il semble que le correctif KB5005010 ne corrige pas non plus complètement la vulnérabilité principale, mais tente simplement d’empêcher le chargement des imprimantes sur le réseau en filtrant le chemin UNC lorsque Point&Print est configuré.
Le correctif comprend en outre une clé de registre configurable RestrictDriverInstallationToAdministrators pour restreindre davantage l’installation.
La correction de seulement 55 bugss est une anomalie pour un Patch Tuesday de Microsoft, alors que l’entreprise en corrige plus de 100 chaque mois depuis un certain temps :
Les bugs d’Exchange continuent d’être corrigés. Cinq cette fois. L’un d’eux était déjà connu.
Il y a quatre critiques. Le plus important dans l’implémentation de la pile de protocole HTTP (http.sys) qui permettrait l’exécution de code sur le serveur. C’est un problème inquiétant. Les autres sont hyper-V, OLE Automation, et le moteur de script d’IE 11.
Il ne faut pas oublier que la faille HTTP affecte également Windows 10. Il convient de souligner qu’il ne s’agit pas d’un problème lié à IIS mais au système d’exploitation.
Une autre vulnérabilité importante sur laquelle peu d’informations ont été publiées est une faille dans le système Wireless qui permettrait de divulguer des informations.
Ce mois-ci, nous avons moins de vulnérabilités (50, soit la moitié de ce qui a été corrigé chaque mois dernièrement) mais en contrepartie, beaucoup plus de vulnérabilités critiques : cinq. Et pour ne rien arranger, six vulnérabilités sont déjà exploitées par des attaquants. Il s’agit principalement d’élévations de privilèges. Dans la bibliothèque DWM Core, dans NTFS, dans le noyau et dans le Microsoft Enhanced Cryptographic Provider. Ce dernier est une exécution de code à distance sur la plateforme MSHTML.
Les deux bugs liés au Microsoft Enhanced Cryptographic Provider sont liés à un problème grave qu’Adobe a récemment corrigé (CVE-2021-28550) et qui était exploité par des attaquants envoyant des PDF permettant l’exécution de code.
Une autre faille à noter concerne Kerberos, car un attaquant pourrait contourner l’authentification. Enfin, un problème d’exécution de code dans Defender, qui est facile à exploiter.
Une vulnérabilité a récemment été découverte dans le logiciel vCenter Server de VMWare qui permet à un attaquant d’exécuter du code à distance.
Le logiciel vCenter Server développé par VMWare permet aux administrateurs système de gérer les machines virtuelles et les hôtes utilisés dans les environnements d’entreprise au moyen d’une console unique.
Pour gérer les différents hôtes et machines virtuelles, les administrateurs système utilisent le logiciel vCenter Client, qui est un client web (HTML5) qui effectue des requêtes à l’API fournie par vCenter Server. Pour utiliser le client, il est nécessaire que les administrateurs s’authentifient avec un utilisateur valide sur le système, cependant, la vulnérabilité ne nécessite pas d’authentification pour être exploitée.
Comme nous pouvons le voir dans le tweet suivant de PT SWARM, en faisant une simple requête HTTP à l’API vCenter, il est possible d’exploiter la vulnérabilité, avec laquelle un attaquant peut exécuter des commandes système et finalement exécuter du code malveillant. En outre, il est possible d’exploiter la vulnérabilité sans configuration spéciale, car le problème se produit également dans les configurations par défaut.
Cette vulnérabilité a déjà été signalée (CVE-2021-21972) et corrigée par WMWare dans la dernière mise à jour qu’ils ont publiée. Il est fortement recommandé de passer à la dernière version de vCenter Server et vCenter Client dès que possible afin de s’assurer qu’aucun attaquant ne puisse exploiter cette vulnérabilité sur vos serveurs.
CVE-2020-0674 est une vulnérabilité dans Internet Explorer découverte alors qu’il était utilisé par des attaquants pour exploiter du code. Les détails et les curiosités les plus importants de cette vulnérabilité sont : Bien qu’Internet Explorer ne semble pas pertinent, il conserve une part de marché similaire à celle d’Edge, soit un peu plus de 1,5 %. Firefox en a un peu plus de 4 % et Chrome plus de 63 %. Certains médias prétendent qu’IE a une part de 7,44% et que cette vulnérabilité est plus pertinente de ce fait, mais ce n’est pas vrai, ce sont de vieilles données. Il ne semble pas qu’ils vont sortir un patch hors cycle, nous devrons donc attendre le 11 février. La solution proposée par Microsoft est de laisser la bibliothèque JavaScript inaccessible, ce qui fera beaucoup souffrir la fonctionnalité. Bien que nous n’y croyions pas, Internet Explorer et cette bibliothèque particulière peuvent être utilisés pour des processus internes que nous ne connaissons pas. Rappelons-nous à quel point le navigateur est intégré dans le système. L’attaque peut se produire non seulement via un site web, mais aussi via un e-mail, un document Office ou un PDF associé à IE, car tous sont capables de traiter le JavaScript. Il s’agit d’une exécution en code sans élévation des privilèges. Grâce à la configuration de sécurité renforcée, qui est facile à activer, l’attaque peut être grandement atténuée.
