Microsoft a corrigé 114 vulnérabilités ce mois-ci. Sept d’entre elles sont critiques. La plus frappante est celle qui est déjà exploitée par des attaquants, en particulier par le groupe du ransomware Nokoyawa. Il s’agit d’une élévation de privilèges (CVE-2023-28252) dans le pilote Windows Common Log File System.
Cette faille a été signalée en février et il n’est pas surprenant qu’elle ait été utilisée par Nokoyama, qui exploite le même composant (Common Log File System Driver) pour élever ses privilèges depuis juin 2022, par le biais de différents exploits. On sait qu’au moins cinq failles ont été découvertes par eux sur les 32 exploits corrigés par Microsoft dans ce composant depuis 2018.
Parmi les critiques corrigées dans le 114, une exécution de code dans Microsoft Message Queuing (CVE-2023-21554) et une autre dans le serveur DHCP (CVE-2023-28231) se distinguent.
Mardi 14 mars 2023, Microsoft a publié une mise à jour de sécurité pour corriger 80 failles de sécurité dans ses systèmes d’exploitation. Parmi ces 80 vulnérabilités, deux d’entre elles sont particulièrement critiques, car elles sont activement exploitées par les cybercriminels :
CVE-2023-23397 (score CVSS : 9.8) : Vulnérabilité de type « zero day » dans Microsoft Outlook qui permet une escalade des privilèges.
CVE-2023-24880 (score CVSS : 5.1) : Permet de contourner la fonction de sécurité SmartScreen de Windows.
Microsoft corrige, entre autres, une vulnérabilité de type « zero-day » (CVE-2023-23397) qui était exploitée par un groupe (enregistré comme APT28, STRONIUM, Sednit, Sofacy et Fancy Bear) lié aux services de renseignement militaire russes et dont les principales cibles étaient des organisations européennes.
Cette vulnérabilité a été signalée par le CERT-UA, l’équipe ukrainienne d’intervention en cas d’urgence informatique. Il s’agit d’une faille de sécurité critique dans Outlook qui permet l’élévation des privilèges, cette vulnérabilité pouvant être exploitée sans interaction de l’utilisateur.
Les preuves révèlent que les gouvernements, les industries de la logistique, du pétrole, de la défense et du transport dans des pays tels que la Pologne, l’Ukraine, la Roumanie et la Turquie ont été victimes depuis avril 2022. Ces organisations peuvent avoir été ciblées à des fins de renseignement stratégique ou dans le cadre de la préparation de cyberattaques à l’intérieur et à l’extérieur de l’Ukraine.
L’attaquant peut exploiter cette vulnérabilité en envoyant un courriel spécialement conçu qui est automatiquement déclenché lorsque le client Outlook le récupère et le traite. Cela pourrait conduire à une exploitation AVANT que le courriel ne soit visualisé dans le volet de prévisualisation.
Extrait d’un avis de sécurité de Microsoft concernant cette vulnérabilité.
Pour être plus précis, les attaquants peuvent exploiter cette vulnérabilité en envoyant des messages avec des propriétés MAPI étendues contenant des chemins UNC vers un SMB partagé (TCP 445) sous leur contrôle. Cette connexion au serveur SMB distant envoie le message de négociation NTLM de l’utilisateur. En possession de ce message, l’attaquant peut le transmettre à un autre service et ainsi s’authentifier en tant que victime.
Windows New Technology Manager (NTLM) est une méthode d’authentification utilisée pour se connecter à des domaines Windows à l’aide d’identifiants de connexion hachés. Bien que ce type d’authentification comporte certains risques, il est toujours utilisé sur les nouveaux systèmes afin d’assurer une compatibilité ascendante. Il fonctionne avec des mots de passe hachés que le serveur reçoit du client lorsqu’il tente d’accéder à des ressources partagées, telles que les SMB ; ces hachages, s’ils sont volés, peuvent être utilisés pour s’authentifier auprès de plusieurs services et se déplacer latéralement.
La vulnérabilité CVE-2023-23397 affecte toutes les versions prises en charge de Microsoft Outlook pour Windows, mais n’affecte PAS les versions d’Outlook pour Android, iOS ou macOS. De plus, comme les versions en ligne (telles que Outlook web ou Microsoft 365), ne prennent pas en charge l’authentification NTLM, elles ne sont pas vulnérables aux attaques qui visent à exploiter ces vulnérabilités NTLM, bien qu’il faille noter qu’il existe des organisations qui utilisent O365 qui peuvent encore être vulnérables si leurs utilisateurs utilisent le client Outlook pour Windows et autorisent l’authentification NTLM pour d’autres services.
Il convient également de noter la deuxième vulnérabilité exploitée, CVE-2023-24880 ; cette vulnérabilité permet de contourner la fonction de sécurité de la technologie SmartScreen.
La technologie SmartScreen a été installée dans Microsoft Edge et dans le système d’exploitation Windows pour protéger les utilisateurs contre le téléchargement de logiciels malveillants par hameçonnage ou ingénierie sociale.
Cette vulnérabilité fait suite à un correctif de sécurité limité publié par Microsoft l’année dernière pour remédier à une autre vulnérabilité de SmartScreen (CVE-2022-44698, CVSS score : 5.4) qui a été exploitée par des attaquants motivés pour déployer le ransomware « Magniber ».
La cause du contournement de SmartScreen n’ayant pas été abordée, les attaquants ont pu identifier une variante différente du bogue original.
Le groupe d’analyse des menaces de Google (TAG) a signalé que plus de 10 000 téléchargements de fichiers MSI malveillants signés avec une signature Authenticode malformée ont été observés depuis janvier 2023, permettant potentiellement aux attaquants de distribuer le ransomware « Magniber » sans déclencher d’alerte de sécurité. La plupart des téléchargements sont associés à des utilisateurs européens.
Microsoft a également comblé un certain nombre de vulnérabilités critiques d’exécution de code à distance affectant la pile de protocole HTTP (CVE-2023-23392 , CVSS score : 9.8), le protocole ICMP (CVE-2023-23415 , CVSS score : 9.8) et le Remote Procedure Call Runtime (CVE-2023-21708, CVSS score : 9.8).
Recommandations
Il est recommandé d’appliquer la mise à jour de sécurité immédiatement.
Restreindre le trafic SMB sortant : Dans un environnement d’entreprise traditionnel, cela peut se faire à l’aide de pare-feu périmétriques, de proxies web ou de pare-feu basés sur l’hôte (solution idéale). Si des terminaux décentralisés avec Outlook sont utilisés, il est recommandé d’utiliser une technologie proxy basée sur le web pour bloquer le trafic SMB sortant vers des sous-réseaux non RFC1918. Si une technologie de proxy basée sur le web n’est pas disponible, le pare-feu de l’hôte peut être utilisé pour bloquer les connexions SMB sortantes vers des sous-réseaux non RFC1918.
Restreindre l’utilisation de l’authentification NTLM : utiliser le groupe de sécurité Protected Users dans Active Directory pour les comptes sensibles. Cela empêche les comptes assignés à ce groupe d’utiliser NTLM et force l’utilisation de Kerberos. L’utilisation du mappage de comptes à ce groupe de sécurité présente quelques inconvénients :
Elle nécessite un niveau fonctionnel de domaine d’au moins 2012R2.
Les services ou les systèmes hérités qui utilisent l’authentification NTLM échoueront.
Il n’est pas recommandé d’ajouter des comptes de service ou des comptes d’ordinateur à ce groupe.
Attention, l’utilisation d’informations d’identification mises en cache ne fonctionnera pas.
Les comptes dont les hachages ne sont pas de type AES (typiquement les comptes créés historiquement au niveau fonctionnel d’un domaine 2003) nécessiteront une réinitialisation du mot de passe pour fonctionner.
Un script a également été publié pour vérifier si l’organisation a été attaquée. Il est disponible ici. Les tâches, les courriels et les éléments de calendrier qui sont détectés et qui pointent vers un partage non reconnu doivent être vérifiés pour déterminer s’ils sont malveillants. Si des objets sont détectés, ils doivent être supprimés ou le paramètre doit être supprimé. Si aucun objet n’est détecté, il est peu probable que l’organisation ait été attaquée via CVE-2023-23397.
As-tu entendu parler de l’arrestation de Pompompurin ? Il est le propriétaire présumé du forum de cybercriminalité divulgation BreachForums. Apparemment, il a été arrêté pour complot visant à inciter des gens à vendre des éléments d’accès non autorisés. C’est grave !
Quand la police l’a arrêté, il a avoué être en fait Connor Brian Fitzpatrick, alias Pompompurin, la personne qui gère BreachForums. Il a été libéré contre une caution de 300 000 dollars et devra comparaître devant le tribunal le 24 mars prochain. En attendant, il ne peut se déplacer que dans certains districts et il doit éviter tout contact avec des témoins et des coaccusés.
Le truc c’est que BreachForums est le plus grand forum de cybercriminalité au monde, donc c’est un peu chaud que le gars qui le dirige se fasse prendre comme ça. Mais bon, un admin du forum a déclaré qu’il continuerait de fonctionner normalement, donc ça ne va pas arrêter les hackers et autres gangs de ransomware qui l’utilisent pour vendre des données volées.
Pompompurin est un acteur majeur de la scène underground de la cybercriminalité. Avant de créer BreachForums, il était très actif sur RaidForums, un autre forum de hacking. Depuis la saisie de RaidForums par le FBI en 2022, il a créé BreachForums pour continuer ses activités. Il a notamment été impliqué dans plusieurs grosses violations de données, comme l’envoi de faux e-mails de cyberattaque à partir du portail LEEP du FBI, le vol de données de clients de Robinhood et l’utilisation d’un bug pour confirmer les adresses e-mail de 5,4 millions d’utilisateurs de Twitter.
La semaine dernière, BreachForums a été utilisé pour essayer de vendre des données personnelles d’hommes politiques américains qui avaient été volées lors d’une intrusion chez D.C. Health Link, un fournisseur de soins de santé pour les membres de la Chambre des représentants des États-Unis, leur personnel et leurs familles. C’est certainement une des raison qui ont fait que Pompompurin a eu droit à une attention toute particulière de la part du FBI.
Le premier lot de correctifs de Microsoft en 2023 commence fort. Il corrige 98 vulnérabilités. 11 d’entre eux sont critiques. L’une d’elles était déjà connue et une élévation de privilège (CVE-2023-21674) est déjà exploitée par des attaquants. Celle qui était déjà connue est celle qui affecte le service Windows SMB Witness (CVE-2023-21549), qui permettrait également une élévation de privilèges.
Une autre vulnérabilité notable (et liée à l’élévation des privilèges) est la CVE-2023-21561, dans les services cryptographiques (il y en a d’autres, moins graves, dans le même module). Celle-ci permettrait de sortir de l’environnement plus restreint d’AppContainer jusqu’à l’obtention des permissions SYSTEM.
Sept autres ont été corrigés et entraînent l’exécution de code. Les problèmes de la file d’attente d’impression sont à nouveau résolus. Trois élévations de privilège. Au fait, l’un d’entre eux, CVE-2023-21678, a été signalé par la NSA. C’est le troisième en peu de temps que cette agence a découvert.
Deux bugs sont également importants dans Exchange : CVE-2023-21762 et CVE-2023-21745, qui est généralement une cible prioritaire pour les attaquants.
Dans le classement des mots de passe les plus courants de 2022, on observe que les utilisateurs continuent d’utiliser les classiques « password » et « 123456 ».
NordPass a publié un rapport qui répertorie les mots de passe les plus utilisés par les utilisateurs tout au long de l’année. En collaboration avec des chercheurs indépendants, des millions d’identifiants provenant d’incidents de cybersécurité ont été évalués pour produire un classement des mots de passe les plus utilisés et les moins sûrs. Au total, plus de 3 To de données provenant de plus de 30 pays ont été analysés, principalement des continents européen et américain.
Les deux premières places sont occupées par les classiques « password » et « 123456 », utilisés respectivement par près de 5 millions et plus de 1,5 million d’utilisateurs. Ces deux mots de passe sont extrêmement faibles et ne sont pas du tout recommandés, à tel point que le temps estimé pour les deviner est inférieur à une seconde au moyen d’une attaque par dictionnaire.
Dans les 25 premiers du classement mondial, on trouve principalement des codes numériques (jusqu’à 76 % des cas), des mots simples du dictionnaire comme « invité » et des combinaisons de touches qui suivent l’ordre déterminé par leur emplacement sur le clavier comme « qwerty ». Le temps nécessaire pour obtenir tous ces mots de passe n’est que de quelques secondes. Un seul d’entre eux prendrait plus de temps car il est composé de majuscules, de minuscules et de chiffres : « D1lakiss » ; cependant, comme il ne comporte que 8 caractères, le temps nécessaire pour le casser par une attaque par force brute est d’environ 3 heures.
En remontant dans le classement, on trouve aussi des noms propres, des noms de séries et de marques comme « daniel », « Gizli » ou « samsung », et même des mots de passe de seulement 3 caractères comme « 123 », « vip » ou « usr ». La liste des 50 mots de passe les plus mauvais et les plus utilisés en 2022 est la suivante :
Il est recommandé d’éviter d’utiliser ce type de mots de passe et de suivre une série de directives lors de l’établissement d’informations d’identification sécurisées pour les services en ligne utilisés. Certaines de ces recommandations sont :
Combinez des caractères de différents types : majuscules, minuscules, chiffres et symboles.
Utilisez une longueur appropriée pour éviter les attaques par force brute (au moins 12 caractères).
Évitez les mots du dictionnaire (de n’importe quelle langue), les noms propres, les noms d’animaux domestiques, les dates, les lieux ou les données personnelles, etc. et leurs combinaisons, telles que nom + date de naissance.
Évitez les motifs de caractères successifs sur le clavier, tels que « qwertyuiop » ou « 1qaz2wsx ».
Il existe d’autres techniques pour générer des mots de passe forts, comme la combinaison de plusieurs mots sans rapport entre eux et l’utilisation d’une règle mnémotechnique pour se souvenir de la chaîne résultante. Par exemple, les mots « hibou », « manteau », « violet », « prairie » et « nuit » génèrent le mot de passe « hiboumanteauvioletprairienuit », dont la longueur permet d’éviter les attaques par force brute et qui est aussi facile à mémoriser que d’imaginer un hibou en manteau violet dans une prairie la nuit.
Bien entendu, il faut aussi éviter de réutiliser le même mot de passe sur différents services et, surtout, ne pas les écrire sur des notes ou des post-it et les coller sur le bureau ou sous le clavier. Cela rend un mot de passe, aussi sûr soit-il, inutile.
Il est également recommandé d’utiliser des gestionnaires de mots de passe avec lesquels vous pouvez facilement générer des mots de passe sécurisés et les stocker localement sur un dispositif distinct (par exemple, une clé USB).