learn.hack.repeat

Catégorie : CVE Page 2 of 10

Patch Tuesday

Le Patch Tuesday de février est arrivé et il est temps de parler de la dernière mise à jour de sécurité pour le mois. Ce Patch Tuesday inclut des correctifs pour un total de 56 vulnérabilités, dont 11 ont été classées comme critiques, 43 comme importantes et 2 comme modérées.

Mais ce qui est encore plus préoccupant, c’est que cette mise à jour contient des correctifs pour plusieurs vulnérabilités zero-day, ce qui signifie qu’elles ont déjà été exploitées par des pirates informatiques avant même que Microsoft ne soit informé de leur existence. Cela souligne l’importance de maintenir les mises à jour de sécurité à jour, car une fois qu’un attaquant trouve une vulnérabilité, il peut l’utiliser pour pénétrer dans des systèmes et causer des dommages importants.

L’une des vulnérabilités zero-day les plus critiques corrigées dans cette mise à jour est CVE-2023-0805, qui affecte Microsoft Office. Cette vulnérabilité permettait à un attaquant d’exécuter du code malveillant à distance sur le système de la victime. Si un utilisateur ouvre un document Word malveillant, un pirate informatique pourrait prendre le contrôle complet de leur système et y installer des logiciels malveillants, espionner leur activité en ligne ou voler leurs données sensibles.

Une autre vulnérabilité zero-day importante corrigée dans cette mise à jour est CVE-2023-0827, qui affecte Microsoft Windows. Cette vulnérabilité permettait à un attaquant d’installer des logiciels malveillants à distance sur le système de la victime. Les pirates informatiques ont été connus pour exploiter cette vulnérabilité pour installer des logiciels espions ou des ransomwares, qui chiffrent les fichiers de la victime et demandent une rançon pour les débloquer.

Outre ces deux vulnérabilités zero-day, Microsoft a également corrigé plusieurs autres vulnérabilités critiques et importantes, y compris des vulnérabilités dans Edge, SharePoint et Exchange Server. L’ensemble de ces vulnérabilités peut permettre à un attaquant d’exécuter du code à distance, d’installer des logiciels malveillants ou de provoquer un déni de service sur un système affecté.

Enfin, Microsoft a publié une mise à jour pour corriger une vulnérabilité modérée dans Microsoft Teams (CVE-2023-0819), qui pourrait permettre à un attaquant de contourner les mécanismes de sécurité de Teams et d’envoyer des messages malveillants à d’autres utilisateurs de l’application.

En conclusion, la mise à jour de sécurité de février 2023 de Microsoft est importante et les utilisateurs doivent la mettre à jour immédiatement pour éviter toute exploitation potentielle de ces vulnérabilités zero-day. Les administrateurs de système doivent également s’assurer que tous les systèmes de leur organisation sont correctement mis à jour pour protéger leur entreprise contre les attaques potentielles.

Il est essentiel de comprendre que les attaquants cherchent constamment de nouvelles vulnérabilités à exploiter, ce qui signifie que les mises à jour de sécurité doivent être maintenues à jour pour garantir que les systèmes sont protégés contre les menaces. Les correctifs de sécurité sont une partie importante de la cybersécurité et garantissent que les systèmes sont protégés contre les dernières menaces en matière de sécurité.

Enfin, il est important de souligner que la sécurité en ligne est une responsabilité partagée. Les utilisateurs doivent être conscients des menaces potentielles et doivent prendre les mesures appropriées pour protéger leurs systèmes, tels que l’utilisation de logiciels antivirus et de pare-feu. Les entreprises doivent également s’assurer que leurs employés sont formés pour reconnaître les attaques de phishing et autres tentatives d’hameçonnage.

Plus d’information:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb

Patch Tuesday

Le premier lot de correctifs de Microsoft en 2023 commence fort. Il corrige 98 vulnérabilités. 11 d’entre eux sont critiques. L’une d’elles était déjà connue et une élévation de privilège (CVE-2023-21674) est déjà exploitée par des attaquants. Celle qui était déjà connue est celle qui affecte le service Windows SMB Witness (CVE-2023-21549), qui permettrait également une élévation de privilèges.

Source: pexels.com

Une autre vulnérabilité notable (et liée à l’élévation des privilèges) est la CVE-2023-21561, dans les services cryptographiques (il y en a d’autres, moins graves, dans le même module). Celle-ci permettrait de sortir de l’environnement plus restreint d’AppContainer jusqu’à l’obtention des permissions SYSTEM.

Sept autres ont été corrigés et entraînent l’exécution de code. Les problèmes de la file d’attente d’impression sont à nouveau résolus. Trois élévations de privilège. Au fait, l’un d’entre eux, CVE-2023-21678, a été signalé par la NSA. C’est le troisième en peu de temps que cette agence a découvert.

Deux bugs sont également importants dans Exchange : CVE-2023-21762 et CVE-2023-21745, qui est généralement une cible prioritaire pour les attaquants.

Plus d’information:
https://msrc.microsoft.com/update-guide/

OpenSSL

La faille OpenSSL, qui a fait couler beaucoup d’encre, a été rétrogradée de critique à haute. C’est avec ce particulier « trick or treat » qu’une vulnérabilité dans OpenSSL a semblé effrayer plus d’un administrateur système (à une époque particulièrement propice aux histoires d’horreur). Les failles sont les CVE-2022-3786 et CVE-2022-3602. Certains ont tenté de l’appeler SpookySSL et de le comparer à Heartbleed… sans grand succès.

Heureusement, le bug n’était pas si grave. Cependant, il reste d’une grande importance et peut conduire à une exécution de code arbitraire ou à un déni de service dans certaines conditions.

Le bug était un « off-by-one » dans la fonction « ossl_punycode_decode » causé par une expression de comparaison arithmétique. En fait, l’opérateur « > » a été remplacé par « >= ». Cette absence de comparaison avec les « égaux » permet d’écrire 4 octets de mémoire de pile via un domaine internationalisé (avec punycode) dans le champ e-mail d’un certificat numérique.

Un correctif existe déjà et de nombreux projets ont pu diffuser des mises à jour avant que les détails ne soient publiés. L’exploitation, cependant, n’est pas simple. Bien que ce soit un défi de faire tenir quelque chose de productif dans 4 octets, le certificat numérique doit être signé ou accepté par l’utilisateur s’il ne provient pas d’une autorité de certification connue.

Plus d’information:
https://www.openssl.org/news/secadv/20221101.txt

Un 0-day dans Zimbra est activement exploité

Zimbra a publié des mises à jour de sécurité pour corriger une vulnérabilité critique de type « zero-day » qui est activement exploitée dans sa suite de collaboration d’entreprise Zimbra Collaboration (ZCS).

La faille de sécurité, à laquelle a été attribué l’identifiant CVE-2022-41352, est une vulnérabilité de type 0-day qui affecte un composant de la suite Zimbra appelé Amavis (un scanner de logiciels malveillants utilisé dans les serveurs de messagerie Unix), et plus particulièrement l’utilitaire cpio qu’il utilise pour extraire les fichiers. Le score CVSS, qui indique la gravité de cette faille de sécurité, est de 9,8 sur 10.

L’exploitation de cette vulnérabilité pourrait permettre le téléchargement de fichiers arbitraires en raison de l’incapacité de cpio à gérer de manière sécurisée les fichiers non fiables et conduire à un accès inapproprié à tout autre compte utilisateur.

En exploitant cette vulnérabilité, un attaquant peut insérer un shell dans la racine du site web et obtenir l’exécution de code à distance. Pour l’exploiter, il suffit d’envoyer un courriel avec une pièce jointe .TAR, .CPIO ou .RPM spécialement conçue. Lorsqu’Amavis inspecte les pièces jointes, il utilise cpio pour extraire le fichier, ce qui déclenche l’exploit.

Ce problème semble provenir de la vulnérabilité sous-jacente CVE-2015-1197 qui remonte à 2015 et avait été corrigée. Cependant, dans les distributions ultérieures, le patch a été annulé, selon la déclaration de Flashpoint. Pour être exploitée, cette vulnérabilité nécessite une application secondaire qui utilise cpio pour l’extraction de fichiers.

D’autre part, l’entreprise de sécurité Kaspersky a signalé que des groupes inconnus ont activement exploité cette vulnérabilité critique. Les attaques se sont déroulées en deux vagues ; la première, début septembre, a visé principalement des entités gouvernementales en Asie. La deuxième vague d’attaques a été menée fin septembre, avec une portée beaucoup plus large, visant tous les serveurs vulnérables (gouvernementaux, télécommunications, informatiques, etc.) situés dans les pays d’Asie centrale.

Le 7 octobre, une preuve de concept (PoC) pour cette vulnérabilité a été ajoutée à Metasploit, ouvrant la voie à une exploitation massive par des attaquants même de bas niveau.

À cet égard, la société de réponse aux incidents Volexity a identifié environ 1 600 serveurs Zimbra susceptibles d’être compromis à cause de cette vulnérabilité.

Les correctifs de sécurité sont disponibles dans les versions suivantes :

  • Zimbra 9.0.0.0 Patch 27
  • Zimbra 8.8.15 Patch 34

En plus de l’application des correctifs ci-dessus, les administrateurs et les propriétaires de serveurs Zimbra sont encouragés à vérifier les indicateurs de compromission (IOC). Voici les emplacements connus des webshells déployés par des acteurs malveillants qui exploitent actuellement la vulnérabilité CVE-2022-41352 :

/opt/zimbra/jetty/webapps/zimbra/public/.error.jsp
/opt/zimbra/jetty/webapps/zimbra/public/ResourcesVerificaton.jsp
/opt/zimbra/jetty/webapps/webapps/zimbra/public/ResourceVerificaton.jsp
/opt/zimbra/jetty/webapps/zimbra/public/ZimletCore.jsp
/opt/zimbra/jetty/webapps/zimbra/public/searchx.jsp
/opt/zimbra/jetty/webapps/zimbra/public/seachx.jsp

Il convient de noter que l’exploit Metasploit utilise une chaîne de 4 à 10 caractères aléatoires pour le nom du webshell JSP :

/opt/zimbra/jetty_base/webapps/zimbra/[4-10 caractères aléatoires].jsp

Il est important de considérer que la suppression du fichier .JSP n’est pas suffisante. L’attaquant aurait pu accéder aux fichiers de configuration, aux mots de passe utilisés dans les comptes d’administration et de service, aux informations confidentielles, déployer et cacher d’autres portes dérobées, etc.

Plus d’information :
https://blog.zimbra.com/2022/10/new-zimbra-patches-9-0-0-patch-27-8-8-15-patch-34/
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P27
https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P34
https://flashpoint.io/blog/zero-day-vulnerability-zimbra-collaboration-cpio/
https://securelist.com/ongoing-exploitation-of-cve-2022-41352-zimbra-0-day/107703/
https://twitter.com/Volexity/status/1580591431197945857

Vulnérabilité dans les produits Fortinet CVE-2022-40684

L’entreprise de produits de sécurité indique que la vulnérabilité a été exploitée dans au moins un incident. Les produits FortiOS, FortiProxy et FortiSwitch manager, pourraient être laissés entre les mains d’un attaquant via des requêtes HTTP ou HTTPS malveillantes.

Source: fortinet.com

Cette vulnérabilité est classée comme CWE-288, c’est-à-dire qu’elle permet d’accéder à l’interface d’administration des produits affectés par des canaux ne nécessitant pas d’authentification. Pour valider si vous avez été victime d’une attaque, la société recommande de rechercher l’indicateur de compromission :

utilisateur="Local_Process_Access"

dans les journaux des appareils vulnérables.

Produits concernés

  • FortiOs 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
  • FortiProxy 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 7.0.0, 7.0.0
  • FortiSwitchManager 7.2.0, 7.0.0

En plus des mises à jour correspondantes de ces produits pour corriger la vulnérabilité, la société a fourni une solution de contournement consistant à désactiver l’accès à l’interface d’administration via HTTP/HTTPS ou à créer une liste blanche des IP pouvant accéder au port correspondant.

La criticité de cette CVE est maximale, avec un score CVSSv3 de 9,6. Depuis le 7 octobre, des rapports ont commencé à circuler selon lesquels Fortinet contactait les administrateurs de ses produits pour qu’ils effectuent une mise à jour vers le nouveau correctif.

Interrogée sur la vulnérabilité, la société a indiqué qu’avant de la rendre publique, elle s’assurait que ses clients en étaient informés et mettaient en œuvre les mesures nécessaires pour éviter les incidents.

Comme indiqué sur twitter, les chercheurs de l’équipe d’attaque Horizon3 ont une preuve de concept prête, obtenue par rétro-ingénierie du patch publié. Cette preuve de concept sera publiée plus tard dans la semaine.

Compte tenu de la gravité de cette vulnérabilité et du type de produits qu’elle affecte, il est de la plus haute importance que les correctifs ou les solutions de contournement proposés par Fortinet soient appliqués immédiatement.

Plus d’information :
https://www.fortiguard.com/psirt/FG-IR-22-377
https://thehackernews.com/2022/10/fortinet-warns-of-active-exploitation.html
https://www.tenable.com/blog/cve-2022-40684-critical-authentication-bypass-in-fortios-and-fortiproxy
https://securityaffairs.co/wordpress/136905/breaking-news/cve-2022-40684-fortinet-products-exploited.html
https://infosecwriteups.com/cve-2022-40684-new-authentication-bypass-affecting-fortigate-and-fortiproxy-c9bd36112949
https://www.bleepingcomputer.com/news/security/fortinet-says-critical-auth-bypass-bug-is-exploited-in-attacks/
https://www.rapid7.com/blog/post/2022/10/07/cve-2022-40684-remote-authentication-bypass-vulnerability-in-fortinet-firewalls-web-proxies/

Page 2 of 10

Fièrement propulsé par WordPress & Thème par Anders Norén