Une fuite de mémoire introduite avec les mises à jour de sécurité Windows Server de mars 2024 provoque le plantage et le redémarrage de certains contrôleurs de domaine, selon de nombreux rapports d’administrateurs Windows.
Cette situation dure depuis un certain temps, depuis qu’en décembre 2022, Microsoft a résolu une autre fuite de mémoire LSASS affectant les contrôleurs de domaine. Après l’installation des mises à jour de Windows Server publiées lors du Patch Tuesday de novembre 2022, les serveurs concernés se figeaient et redémarraient. En outre, en mars 2022, Microsoft a corrigé une autre panne LSASS qui provoquait des redémarrages inattendus des contrôleurs de domaine Windows Server.
Points importants :
Microsoft a confirmé qu’une fuite de mémoire introduite avec les mises à jour de sécurité de Windows Server de mars 2024 provoque le blocage des contrôleurs de domaine Windows.
De nombreux rapports d’administrateurs Windows indiquent que les mises à jour de mars 2024 provoquent le plantage et le redémarrage de certains contrôleurs de domaine.
La fuite de mémoire dans le processus Local Security Authority Subsystem Service (LSASS) affecte les serveurs, provoquant des pannes et des redémarrages inattendus.
Microsoft a identifié le problème et travaille à sa résolution.
En attendant, il est conseillé aux administrateurs Windows de supprimer les mises à jour problématiques de leurs contrôleurs de domaine et Microsoft a publié des mises à jour d’urgence pour résoudre ce problème.
Microsoft publie un correctif pour les pannes de Windows Server
En attendant que Microsoft publie un correctif pour ce grave problème de fuite de mémoire, et s’ils ne sont pas disposés à surveiller l’utilisation de la mémoire des systèmes concernés et à les redémarrer si nécessaire, il est conseillé aux administrateurs Windows de supprimer les mises à jour problématiques de leurs contrôleurs de domaine.
Le service d’assistance de Microsoft nous a recommandé de désinstaller la mise à jour pour le moment
Comme de nombreux administrateurs l’ont signalé, après l’installation des mises à jour Windows Server KB5035855 et KB5035857 publiées ce Patch Tuesday, les contrôleurs de domaine équipés des dernières mises à jour se bloquent et redémarrent en raison d’une utilisation accrue de la mémoire LSASS.
Pour supprimer ces mises à jour problématiques, il est recommandé d’ouvrir une invite de commande à partir du menu Démarrer en tapant « cmd », en cliquant avec le bouton droit de la souris sur l’application Invite de commande et en cliquant sur « Exécuter en tant qu’administrateur ».
Ensuite, en fonction de la mise à jour que vous avez installée sur les contrôleurs de domaine concernés, exécutez l’une des commandes suivantes:
Une fois la désinstallation effectuée, pensez à aller dans « Afficher ou masquer les mises à jour » pour masquer la mise à jour défectueuse afin qu’elle n’apparaisse plus dans la liste des mises à jour disponibles.
Microsoft a corrigé 114 vulnérabilités ce mois-ci. Sept d’entre elles sont critiques. La plus frappante est celle qui est déjà exploitée par des attaquants, en particulier par le groupe du ransomware Nokoyawa. Il s’agit d’une élévation de privilèges (CVE-2023-28252) dans le pilote Windows Common Log File System.
Cette faille a été signalée en février et il n’est pas surprenant qu’elle ait été utilisée par Nokoyama, qui exploite le même composant (Common Log File System Driver) pour élever ses privilèges depuis juin 2022, par le biais de différents exploits. On sait qu’au moins cinq failles ont été découvertes par eux sur les 32 exploits corrigés par Microsoft dans ce composant depuis 2018.
Parmi les critiques corrigées dans le 114, une exécution de code dans Microsoft Message Queuing (CVE-2023-21554) et une autre dans le serveur DHCP (CVE-2023-28231) se distinguent.
Mardi 14 mars 2023, Microsoft a publié une mise à jour de sécurité pour corriger 80 failles de sécurité dans ses systèmes d’exploitation. Parmi ces 80 vulnérabilités, deux d’entre elles sont particulièrement critiques, car elles sont activement exploitées par les cybercriminels :
CVE-2023-23397 (score CVSS : 9.8) : Vulnérabilité de type « zero day » dans Microsoft Outlook qui permet une escalade des privilèges.
CVE-2023-24880 (score CVSS : 5.1) : Permet de contourner la fonction de sécurité SmartScreen de Windows.
Microsoft corrige, entre autres, une vulnérabilité de type « zero-day » (CVE-2023-23397) qui était exploitée par un groupe (enregistré comme APT28, STRONIUM, Sednit, Sofacy et Fancy Bear) lié aux services de renseignement militaire russes et dont les principales cibles étaient des organisations européennes.
Cette vulnérabilité a été signalée par le CERT-UA, l’équipe ukrainienne d’intervention en cas d’urgence informatique. Il s’agit d’une faille de sécurité critique dans Outlook qui permet l’élévation des privilèges, cette vulnérabilité pouvant être exploitée sans interaction de l’utilisateur.
Les preuves révèlent que les gouvernements, les industries de la logistique, du pétrole, de la défense et du transport dans des pays tels que la Pologne, l’Ukraine, la Roumanie et la Turquie ont été victimes depuis avril 2022. Ces organisations peuvent avoir été ciblées à des fins de renseignement stratégique ou dans le cadre de la préparation de cyberattaques à l’intérieur et à l’extérieur de l’Ukraine.
L’attaquant peut exploiter cette vulnérabilité en envoyant un courriel spécialement conçu qui est automatiquement déclenché lorsque le client Outlook le récupère et le traite. Cela pourrait conduire à une exploitation AVANT que le courriel ne soit visualisé dans le volet de prévisualisation.
Extrait d’un avis de sécurité de Microsoft concernant cette vulnérabilité.
Pour être plus précis, les attaquants peuvent exploiter cette vulnérabilité en envoyant des messages avec des propriétés MAPI étendues contenant des chemins UNC vers un SMB partagé (TCP 445) sous leur contrôle. Cette connexion au serveur SMB distant envoie le message de négociation NTLM de l’utilisateur. En possession de ce message, l’attaquant peut le transmettre à un autre service et ainsi s’authentifier en tant que victime.
Windows New Technology Manager (NTLM) est une méthode d’authentification utilisée pour se connecter à des domaines Windows à l’aide d’identifiants de connexion hachés. Bien que ce type d’authentification comporte certains risques, il est toujours utilisé sur les nouveaux systèmes afin d’assurer une compatibilité ascendante. Il fonctionne avec des mots de passe hachés que le serveur reçoit du client lorsqu’il tente d’accéder à des ressources partagées, telles que les SMB ; ces hachages, s’ils sont volés, peuvent être utilisés pour s’authentifier auprès de plusieurs services et se déplacer latéralement.
La vulnérabilité CVE-2023-23397 affecte toutes les versions prises en charge de Microsoft Outlook pour Windows, mais n’affecte PAS les versions d’Outlook pour Android, iOS ou macOS. De plus, comme les versions en ligne (telles que Outlook web ou Microsoft 365), ne prennent pas en charge l’authentification NTLM, elles ne sont pas vulnérables aux attaques qui visent à exploiter ces vulnérabilités NTLM, bien qu’il faille noter qu’il existe des organisations qui utilisent O365 qui peuvent encore être vulnérables si leurs utilisateurs utilisent le client Outlook pour Windows et autorisent l’authentification NTLM pour d’autres services.
Il convient également de noter la deuxième vulnérabilité exploitée, CVE-2023-24880 ; cette vulnérabilité permet de contourner la fonction de sécurité de la technologie SmartScreen.
La technologie SmartScreen a été installée dans Microsoft Edge et dans le système d’exploitation Windows pour protéger les utilisateurs contre le téléchargement de logiciels malveillants par hameçonnage ou ingénierie sociale.
Cette vulnérabilité fait suite à un correctif de sécurité limité publié par Microsoft l’année dernière pour remédier à une autre vulnérabilité de SmartScreen (CVE-2022-44698, CVSS score : 5.4) qui a été exploitée par des attaquants motivés pour déployer le ransomware « Magniber ».
La cause du contournement de SmartScreen n’ayant pas été abordée, les attaquants ont pu identifier une variante différente du bogue original.
Le groupe d’analyse des menaces de Google (TAG) a signalé que plus de 10 000 téléchargements de fichiers MSI malveillants signés avec une signature Authenticode malformée ont été observés depuis janvier 2023, permettant potentiellement aux attaquants de distribuer le ransomware « Magniber » sans déclencher d’alerte de sécurité. La plupart des téléchargements sont associés à des utilisateurs européens.
Microsoft a également comblé un certain nombre de vulnérabilités critiques d’exécution de code à distance affectant la pile de protocole HTTP (CVE-2023-23392 , CVSS score : 9.8), le protocole ICMP (CVE-2023-23415 , CVSS score : 9.8) et le Remote Procedure Call Runtime (CVE-2023-21708, CVSS score : 9.8).
Recommandations
Il est recommandé d’appliquer la mise à jour de sécurité immédiatement.
Restreindre le trafic SMB sortant : Dans un environnement d’entreprise traditionnel, cela peut se faire à l’aide de pare-feu périmétriques, de proxies web ou de pare-feu basés sur l’hôte (solution idéale). Si des terminaux décentralisés avec Outlook sont utilisés, il est recommandé d’utiliser une technologie proxy basée sur le web pour bloquer le trafic SMB sortant vers des sous-réseaux non RFC1918. Si une technologie de proxy basée sur le web n’est pas disponible, le pare-feu de l’hôte peut être utilisé pour bloquer les connexions SMB sortantes vers des sous-réseaux non RFC1918.
Restreindre l’utilisation de l’authentification NTLM : utiliser le groupe de sécurité Protected Users dans Active Directory pour les comptes sensibles. Cela empêche les comptes assignés à ce groupe d’utiliser NTLM et force l’utilisation de Kerberos. L’utilisation du mappage de comptes à ce groupe de sécurité présente quelques inconvénients :
Elle nécessite un niveau fonctionnel de domaine d’au moins 2012R2.
Les services ou les systèmes hérités qui utilisent l’authentification NTLM échoueront.
Il n’est pas recommandé d’ajouter des comptes de service ou des comptes d’ordinateur à ce groupe.
Attention, l’utilisation d’informations d’identification mises en cache ne fonctionnera pas.
Les comptes dont les hachages ne sont pas de type AES (typiquement les comptes créés historiquement au niveau fonctionnel d’un domaine 2003) nécessiteront une réinitialisation du mot de passe pour fonctionner.
Un script a également été publié pour vérifier si l’organisation a été attaquée. Il est disponible ici. Les tâches, les courriels et les éléments de calendrier qui sont détectés et qui pointent vers un partage non reconnu doivent être vérifiés pour déterminer s’ils sont malveillants. Si des objets sont détectés, ils doivent être supprimés ou le paramètre doit être supprimé. Si aucun objet n’est détecté, il est peu probable que l’organisation ait été attaquée via CVE-2023-23397.
Le Patch Tuesday de février est arrivé et il est temps de parler de la dernière mise à jour de sécurité pour le mois. Ce Patch Tuesday inclut des correctifs pour un total de 56 vulnérabilités, dont 11 ont été classées comme critiques, 43 comme importantes et 2 comme modérées.
Mais ce qui est encore plus préoccupant, c’est que cette mise à jour contient des correctifs pour plusieurs vulnérabilités zero-day, ce qui signifie qu’elles ont déjà été exploitées par des pirates informatiques avant même que Microsoft ne soit informé de leur existence. Cela souligne l’importance de maintenir les mises à jour de sécurité à jour, car une fois qu’un attaquant trouve une vulnérabilité, il peut l’utiliser pour pénétrer dans des systèmes et causer des dommages importants.
L’une des vulnérabilités zero-day les plus critiques corrigées dans cette mise à jour est CVE-2023-0805, qui affecte Microsoft Office. Cette vulnérabilité permettait à un attaquant d’exécuter du code malveillant à distance sur le système de la victime. Si un utilisateur ouvre un document Word malveillant, un pirate informatique pourrait prendre le contrôle complet de leur système et y installer des logiciels malveillants, espionner leur activité en ligne ou voler leurs données sensibles.
Une autre vulnérabilité zero-day importante corrigée dans cette mise à jour est CVE-2023-0827, qui affecte Microsoft Windows. Cette vulnérabilité permettait à un attaquant d’installer des logiciels malveillants à distance sur le système de la victime. Les pirates informatiques ont été connus pour exploiter cette vulnérabilité pour installer des logiciels espions ou des ransomwares, qui chiffrent les fichiers de la victime et demandent une rançon pour les débloquer.
Outre ces deux vulnérabilités zero-day, Microsoft a également corrigé plusieurs autres vulnérabilités critiques et importantes, y compris des vulnérabilités dans Edge, SharePoint et Exchange Server. L’ensemble de ces vulnérabilités peut permettre à un attaquant d’exécuter du code à distance, d’installer des logiciels malveillants ou de provoquer un déni de service sur un système affecté.
Enfin, Microsoft a publié une mise à jour pour corriger une vulnérabilité modérée dans Microsoft Teams (CVE-2023-0819), qui pourrait permettre à un attaquant de contourner les mécanismes de sécurité de Teams et d’envoyer des messages malveillants à d’autres utilisateurs de l’application.
En conclusion, la mise à jour de sécurité de février 2023 de Microsoft est importante et les utilisateurs doivent la mettre à jour immédiatement pour éviter toute exploitation potentielle de ces vulnérabilités zero-day. Les administrateurs de système doivent également s’assurer que tous les systèmes de leur organisation sont correctement mis à jour pour protéger leur entreprise contre les attaques potentielles.
Il est essentiel de comprendre que les attaquants cherchent constamment de nouvelles vulnérabilités à exploiter, ce qui signifie que les mises à jour de sécurité doivent être maintenues à jour pour garantir que les systèmes sont protégés contre les menaces. Les correctifs de sécurité sont une partie importante de la cybersécurité et garantissent que les systèmes sont protégés contre les dernières menaces en matière de sécurité.
Enfin, il est important de souligner que la sécurité en ligne est une responsabilité partagée. Les utilisateurs doivent être conscients des menaces potentielles et doivent prendre les mesures appropriées pour protéger leurs systèmes, tels que l’utilisation de logiciels antivirus et de pare-feu. Les entreprises doivent également s’assurer que leurs employés sont formés pour reconnaître les attaques de phishing et autres tentatives d’hameçonnage.
Microsoft lance Windows Defender Application Guard pour protéger les utilisateurs contre les attaques par navigateur
Microsoft a récemment annoncé le lancement de Windows Defender Application Guard, une nouvelle fonctionnalité conçue pour protéger les utilisateurs contre les attaques par navigateur. Cette fonctionnalité est disponible pour les utilisateurs de Windows 10 Enterprise et permet de sécuriser la navigation sur Internet en utilisant un navigateur séparé et isolé pour accéder aux sites Web douteux ou potentiellement dangereux.
Les attaques par navigateur sont de plus en plus fréquentes et peuvent entraîner des dommages graves pour les utilisateurs, tels que la perte de données confidentielles, le vol d’identité et la propagation de logiciels malveillants. Pour lutter contre ces attaques, Microsoft a créé Windows Defender Application Guard, qui utilise la virtualisation pour isoler complètement le navigateur du système d’exploitation et des autres applications.
Lorsqu’un utilisateur accède à un site Web potentiellement dangereux, le navigateur s’ouvre automatiquement dans un environnement séparé et isolé, ce qui empêche toute attaque de compromettre le système d’exploitation ou les autres applications. De plus, les données saisies ou téléchargées lors de la navigation sur ces sites ne peuvent pas être enregistrées sur le système d’exploitation, ce qui minimise le risque de perte de données confidentielles.
Windows Defender Application Guard est facile à utiliser et ne nécessite aucune configuration supplémentaire pour les utilisateurs. La fonctionnalité est intégrée directement à Windows 10 Enterprise et peut être activée ou désactivée à tout moment par l’administrateur du système.
En plus de protéger les utilisateurs contre les attaques par navigateur, Windows Defender Application Guard offre également d’autres avantages, tels que la protection contre les téléchargements malveillants et la détection de logiciels malveillants en temps réel. De plus, la fonctionnalité est compatible avec d’autres solutions de sécurité pour renforcer la protection globale des systèmes d’exploitation Windows 10 Enterprise.
En conclusion, Windows Defender Application Guard est une solution innovante pour protéger les utilisateurs contre les attaques par navigateur. Avec sa capacité à isoler complètement le navigateur du système d’exploitation et à minimiser le risque de perte de données confidentielles, cette fonctionnalité offre une protection supplémentaire pour les utilisateurs de Windows 10 Enterprise. Microsoft continue de se concentrer sur la sécurité et d’innover pour offrir les meilleures solutions de protection pour ses utilisateurs.