En novembre, Microsoft a corrigé une élévation de privilèges dans le programme d’installation. CVE-2021-41379. Mais ça a mal tourné. Le découvreur lui-même a publié un exploit capable de contourner le correctif et d’élever à nouveau les privilèges grâce à une faille dans le système d’installation des MSI. Et il fonctionne mieux que le précédent, même. Pour l’instant, il n’y a pas de correctif et il n’est pas facile de penser à une contre-mesure, comme le souligne l’auteur lui-même.
Le POC écrase les permissions du service d’élévation Edge (car Edge fonctionne avec très peu de privilèges, mais pour certaines opérations, il doit s’élever). Une fois écrasé, il y copie un programme et parvient à se lancer.
On se demande toutefois pourquoi le découvreur qui signale le bug précédent de manière responsable, lance-t-il l’exploit sans avertissement ? Depuis avril 2020, les chercheurs considèrent que la politique de primes aux bugs de Microsoft est très médiocre et laisse beaucoup à désirer. Ils paient de moins en moins à chaque fois.
Les attaques de ransomware perpétrées par des humains peuvent être caractérisées par un ensemble de méthodes et de comportements. C’est sur cette base que les chercheurs Ruofan Wang et Kelly Kang de l’équipe de recherche Microsoft 365 Defender ont développé cette nouvelle fonctionnalité. Il s’agit d’un système basé sur le cloud qui utilise des techniques d’apprentissage automatique pour prédire si un appareil est à risque, auquel cas il bloquera les prochaines étapes de l’attaquant.
Workflow de protection basé sur l’IA. Source : Microsoft
Comment cela fonctionne
Cette protection adaptative s’appuie sur le modèle de protection actuel basé sur le cloud, en étant plus intelligente et plus rapide que le cloud. Dans le contexte d’une attaque, les binaires impliqués ne sont pas tous malveillants, et les indicateurs qu’ils génèrent sont considérés comme peu prioritaires. L’ajout d’une couche supplémentaire de protection par IA adaptative permettrait au système de détecter les comportements inhabituels, donnant ainsi aux équipes d’intervention un délai supplémentaire pour neutraliser les attaques.
Si un appareil présente un risque supérieur à un certain seuil, la protection en nuage passe à un blocage agressif. Dans ce mode, des fichiers ou des processus qui ne sont pas forcément malveillants peuvent être bloqués par précaution. Grâce à l’évaluation et à la mise à jour du dispositif en temps réel, l’agressivité est réduite une fois que le dispositif n’est plus compromis, ce qui réduit les faux positifs et évite d’affecter l’expérience utilisateur.
Un exemple pratique serait celui du ransomware Ryuk. Ce malware, distribué via Trickbot, est tellement polymorphe qu’il utilise de légères modifications pour échapper aux signatures et éviter d’être détecté par les méthodes traditionnelles. À ce stade, la connaissance en temps réel de l’état du dispositif permettrait à ce système de détecter et de bloquer la menace.
Cette fonction d’IA adaptative pour la détection précoce des ransomwares est disponible pour les clients de Microsoft Defender for Endpoint dont la protection basée sur le cloud est activée.
5 vulnérabilités, ce n’est pas beaucoup pour un mois chez Microsoft. Cependant, six d’entre elles sont essentielles. Quatre d’entre elles étaient connus auparavant et deux sont exploitées par des attaquants. Ces dernières sont des problèmes dans Excel qui permettent de contourner les protections mais nécessitent une interaction de l’utilisateur.
Et Exchange n’est pas épargné. CVE-2021-42321. Un bug sérieux qui, bien qu’il exige que l’attaquant soit authentifié, atteint une gravité de 8.8. Un bug grave (9.0) a également été corrigé dans Virtual Machine Bus, qui permettrait à un attaquant de sortir de la machine virtuelle.
L’une des plus intéressantes est la faille dans RDP (CVE-2021-38666) qui permettrait l’exécution de code à distance non pas sur le serveur, mais du serveur vers le client s’il se connecte à un client vulnérable. Il serait intéressant de créer des « pots de miel » qui, au final, se retourneraient contre l’attaquant supposé.
Ce mois-ci, Microsoft corrige 81 vulnérabilités, dont 3 sont critiques et une est exploitée par des attaquants. C’est une élévation de privilèges dans win32k.sys.
Un autre défaut dans la file d’attente d’impression et un autre dans Exchange, les plus importants maux de tête actuels de l’entreprise, ont été corrigés sans trop de détails.
Le bug d’élévation (CVE-2021-40449) est curieux. Ils ont basé l’exploit sur un autre datant de 2016. Il est entièrement conçu pour fonctionner sur des serveurs (ce qui dénote un certain professionnalisme). Il s’agit d’une exploitation libre de l’utilisateur dans la fonction NtGdiResetDC du pilote. La technique est typique de l’élévation, un callback est défini sur la fonction en mode utilisateur, mais au moment de l’appel du pilote et au milieu de l’exécution, la fonction est appelée à nouveau et l’espace mémoire est occupé par une fonction noyau arbitraire à exécuter dans le contexte du noyau.
Les attaquants ont installé un outil que Kaspersky appelle MysterySnail RAT pour contrôler le système.
Après de nombreux échecs en matière de sécurité dans Exchange (principalement causés par ProxyLogon et plusieurs défaillances du service d’impression), Microsoft a décidé d’adopter une nouvelle stratégie de sécurité. Un service appelé Microsoft Exchange Emergency Mitigation (EM) sera déployé de manière imminente sur ces serveurs. Il sera chargé d’atténuer l’exploitation des failles de sécurité jusqu’à ce qu’un correctif soit disponible. Ce service se connectera en fait toutes les heures à l’Office Config Service (OCS) et téléchargera des atténuations dans des fichiers XML avec des atténuations de trois types :
Règles de réécriture pour IIS.
Désactiver certains services.
Désactiver les pools d’applications.
Une étape très intéressante car elle atténuera de nombreux bugs que les administrateurs n’osent pas appliquer, mais d’un autre côté, elle peut être intrusive (dans ces cas, elle peut être désactivée). Cela ferme la fenêtre aux attaquants. Tout comme au début des années 2000, Microsoft a rendu les correctifs automatiques et, peu après, a commencé à créer de petits programmes pour atténuer les bugs graves qui devaient être appliqués à la main, ces atténuations deviennent maintenant automatiques.
