learn.hack.repeat

Étiquette : PrintNightmare Page 1 of 2

Patch Tuesday

Seulement 70 vulnérabilités corrigées ce mardi par Microsoft. Curieusement, aucune d’entre elles n’est critique, bien qu’il y en ait une publique sans exploit. La plus grave (mais pas critique, il y en a plusieurs qui sont censées permettre l’exécution de code) se trouve dans Sharepoint, avec un CVSS de 8.8. Elle semble facile à exploiter, bien qu’elle nécessite certaines autorisations de la part de l’attaquant (qui ne sont pas si difficiles à obtenir). Une autre faille de sévérité 8.8 dans le serveur DNS semble moins susceptible d’être exploitable.

La faille déjà connue est une élévation de privilège complexe à exploiter.

Et la file d’attente pour l’impression est toujours dans l’œil du cyclone. Quatre bugs, classés comme importants (ils permettraient une élévation), ont été corrigés. Microsoft semble bien auditer ce code depuis le fiasco de printNightmare en juillet 2021.

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/

Patch Tuesday

Ce mois-ci, Microsoft corrige 81 vulnérabilités, dont 3 sont critiques et une est exploitée par des attaquants. C’est une élévation de privilèges dans win32k.sys.

Un autre défaut dans la file d’attente d’impression et un autre dans Exchange, les plus importants maux de tête actuels de l’entreprise, ont été corrigés sans trop de détails.

Le bug d’élévation (CVE-2021-40449) est curieux. Ils ont basé l’exploit sur un autre datant de 2016. Il est entièrement conçu pour fonctionner sur des serveurs (ce qui dénote un certain professionnalisme). Il s’agit d’une exploitation libre de l’utilisateur dans la fonction NtGdiResetDC du pilote. La technique est typique de l’élévation, un callback est défini sur la fonction en mode utilisateur, mais au moment de l’appel du pilote et au milieu de l’exécution, la fonction est appelée à nouveau et l’espace mémoire est occupé par une fonction noyau arbitraire à exécuter dans le contexte du noyau.

Les attaquants ont installé un outil que Kaspersky appelle MysterySnail RAT pour contrôler le système.

Plus d’information:
https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/

Microsoft Exchange Emergency Mitigation

Après de nombreux échecs en matière de sécurité dans Exchange (principalement causés par ProxyLogon et plusieurs défaillances du service d’impression), Microsoft a décidé d’adopter une nouvelle stratégie de sécurité. Un service appelé Microsoft Exchange Emergency Mitigation (EM) sera déployé de manière imminente sur ces serveurs. Il sera chargé d’atténuer l’exploitation des failles de sécurité jusqu’à ce qu’un correctif soit disponible.
Ce service se connectera en fait toutes les heures à l’Office Config Service (OCS) et téléchargera des atténuations dans des fichiers XML avec des atténuations de trois types :

  • Règles de réécriture pour IIS.
  • Désactiver certains services.
  • Désactiver les pools d’applications.

Une étape très intéressante car elle atténuera de nombreux bugs que les administrateurs n’osent pas appliquer, mais d’un autre côté, elle peut être intrusive (dans ces cas, elle peut être désactivée). Cela ferme la fenêtre aux attaquants. Tout comme au début des années 2000, Microsoft a rendu les correctifs automatiques et, peu après, a commencé à créer de petits programmes pour atténuer les bugs graves qui devaient être appliqués à la main, ces atténuations deviennent maintenant automatiques.

Plus d’information:
https://techcommunity.microsoft.com/t5/exchange-team-blog/new-security-feature-in-september-2021-cumulative-update-for/ba-p/2783155

CVE-2021-33766

Bien qu’elle ait fait l’objet d’un correctif en juillet, des détails viennent d’apparaître sur la CVE-2021-33766, ou ProxyToken dans Exchange, qui vient s’ajouter à la série de vulnérabilités récentes de ce système. Il permet de voler des informations de la boîte de réception de n’importe quel utilisateur et est très facile à exploiter avec un POST où voyage l’email de la victime et un cookie avec la valeur « SecurityToken=x ».

Dans Exchange, les ports 80 et 443 sont créés pour le front-end et 81 et 444 pour le back-end vers lequel il redirige en s’attendant à ce qu’il résolve l’authentification déléguée s’il voit le SecurityToken non vide. Mais pour une raison quelconque, le back-end (l’ECP, le panneau de contrôle Exchange) laisse passer tout ce qui arrive avec un SecurityToken non vide parce que le module DelegatedAuthModule qui devrait être chargé de l’authentification n’est pas chargé par défaut.

Pour l’exploiter, l’attaquant doit également connaître un « ECP canary », qui est comme un cookie de session. Mais en essayant d’attaquer, le système renvoie un 500 avec une valeur valide qui peut être réinjectée avec le cookie « SecurityToken=x » et modifier la configuration d’Exchange.

Plus d’information:
https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server

Print Nightmare

Il est difficile de suivre tous les bugs liés au spooleur d’impression de Microsoft qui apparaissent ces derniers temps. Juste après avoir publié une mise à jour censée corriger (bien qu’il ne soit pas entièrement confirmé qu’elle corrige) les problèmes d’élévation du spooleur d’impression, Microsoft vient de reconnaître un autre bogue qui permet une élévation facile du SYSTÈME. CVE-2021-36958.

Aucune solution n’est donnée, il est seulement recommandé de désactiver le spouleur d’impression (et de l’empêcher d’imprimer). Ce qui est curieux, c’est qu’elle a reconnu ce bug 8 mois après qu’un chercheur l’ait signalé en décembre 2020. Peut-être a-t-elle été mise sous pression par les conclusions du créateur de Mimikatz, qui analyse les bugs depuis #printNightmare.

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

Page 1 of 2

Fièrement propulsé par WordPress & Thème par Anders Norén