Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Microsoft Zero-Days autorise le contournement de Defender et l'augmentation des privilèges

Republié par Platon
Republié par Platon

Date :

Vues: 177

Microsoft a publié des correctifs pour un total de 63 bogues dans sa mise à jour de novembre 2023, dont trois que les acteurs malveillants exploitent déjà activement et deux qui ont été divulgués précédemment mais n'ont pas encore été exploités.

Du point de vue des chiffres bruts, la mise à jour de novembre de Microsoft est considérablement plus petite que celle d'octobre, qui contenait des correctifs pour 112 CVE. La mise à jour de ce mois-ci comprenait également moins de vulnérabilités critiques (trois) par rapport aux mois précédents. Microsoft a évalué tous les CVE restants, sauf quatre, dans ses mises à jour de novembre comme étant de gravité modérée ou importante.

Un trio de Zero-Days que les attaquants exploitent activement

Comme toujours, la manière dont les organisations priorisent la correction des derniers bogues dépendra de divers facteurs. Ceux-ci incluent la prévalence des vulnérabilités dans leurs environnements spécifiques, les actifs concernés, l'accessibilité de ces actifs, la facilité d'exploitation et d'autres considérations.

Mais comme pour chaque mise à jour mensuelle de Microsoft, le dernier lot contient plusieurs bogues qui, selon les experts en sécurité, méritent plus d'attention que d'autres. Les trois bogues zero-day activement exploités entrent dans cette catégorie.

L'un d'eux est CVE-2023-36036, une vulnérabilité d'élévation de privilèges dans le pilote de mini-filtre Windows Cloud Files de Microsoft qui permet aux attaquants d'acquérir des privilèges au niveau du système. Microsoft a évalué la vulnérabilité comme étant une menace de gravité modérée – ou importante – mais a fourni relativement peu d'autres détails sur le problème. Satnam Narang, ingénieur de recherche senior chez Tenable, a identifié le bug comme étant susceptible d'intéresser les acteurs de la menace du point de vue des activités post-compromission. Un attaquant nécessite un accès local à un système affecté pour exploiter le bug. L'exploitation implique peu de complexité, d'interaction utilisateur ou de privilèges spéciaux.

Le pilote Windows Cloud Files Mini Filter est un composant essentiel au fonctionnement des fichiers stockés dans le cloud sur les systèmes Windows, explique Saeed Abbasi, responsable de la recherche sur les vulnérabilités et les menaces chez Qualys. « La présence généralisée de ce pilote dans presque toutes les versions de Windows amplifie le risque, offrant une large surface d'attaque. Il fait actuellement l’objet d’attaques actives et présente un risque important, en particulier lorsqu’il est associé à un bug d’exécution de code », explique Abbasi.

L'autre bug du jour zéro dans la mise à jour de novembre de Microsoft est CVE-2023-36033, une vulnérabilité d'élévation de privilèges dans le composant Windows DWM Core Library. Cette vulnérabilité permet également d'accéder aux privilèges au niveau du système sur les systèmes concernés et est relativement facile à exploiter. "Cette vulnérabilité peut être exploitée localement, avec une faible complexité et sans nécessiter de privilèges de haut niveau ni d'interaction utilisateur", Mike Walters, président et co-fondateur d'Action1, a écrit dans un blog. Ce bug serait utile à un attaquant ayant déjà obtenu un premier accès à un système, a noté Walters.

"Actuellement, cette vulnérabilité fait l'objet d'attaques actives, ce qui indique une application réelle par des acteurs malveillants", explique Abbasi. « Même si la portée globale de ces cyberattaques n’a pas encore été pleinement déterminée, les tendances historiques indiquent qu’elles commencent souvent par des incidents mineurs et prennent progressivement de l’ampleur. »

Le troisième bug du jour zéro, CVE-2023-36025, est une faille de contournement de sécurité qui permet aux attaquants de contourner les contrôles Windows Defender SmartScreen et les avertissements concernant les sites Web malveillants et les fichiers et applications à risque ou non reconnus.

Il s'agit de la troisième vulnérabilité Zero Day de Windows SmartScreen exploitée à l'état sauvage en 2023 et de la quatrième au cours des deux dernières années, selon Narang de Tenable.

Un attaquant distant peut exploiter la vulnérabilité sur le réseau avec peu de complexité et sans interaction de l'utilisateur, a écrit Walters dans le billet de blog. Avec un score CVSS de 8.8 sur un maximum de 10, CVE-2023-36025 est un élément auquel les organisations ne doivent pas prêter attention, a ajouté Walters. "Compte tenu de sa note CVSS élevée et du fait qu'elle est activement exploitée, cela fait de CVE-2023-36025 l'une des vulnérabilités qui devraient être prioritaires pour les correctifs."

Deux bugs - CVE-2023-36038, une vulnérabilité de déni de service affectant ASP.NET Core, et CVE-2023-36413, une faille de contournement des fonctionnalités de sécurité dans Microsoft Office - ont été divulguées publiquement avant le Patch Tuesday de novembre mais restent inexploitées.

Bogues de gravité critique

Les trois vulnérabilités de la mise à jour de novembre que Microsoft a évaluées comme étant de gravité critique sont : CVE-2023-36397, une exécution de code à distance (RCE) dans le protocole Windows Pragmatic General Multicast pour le transport de données multicast ; CVE-2023-36400, un bug d'élévation de privilèges dans la fonctionnalité Windows HMAC Key Derivation ; et CVE-2023-36052, une faille de divulgation d’informations dans un composant Azure.

Parmi les trois bogues critiques, CVE-2023-36052 est probablement le problème auquel les organisations doivent donner la priorité, déclare John Gallagher, vice-président de Viakoo Labs chez Viakoo. Le bug permet à un attaquant d'utiliser des commandes d'interface de ligne de commande courantes pour accéder aux informations d'identification en clair : noms d'utilisateur et mots de passe. « Ces informations d'identification sont probablement utilisables dans d'autres environnements qu'Azure DevOps ou GitHub, et créent donc un risque de sécurité urgent », explique Gallagher.

Dans un centre de tempête Internet SANS blog récents, Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a souligné que le problème du Pragmatic General Multicast était un problème à surveiller. "CVE-2023-36397, une vulnérabilité d'exécution de code à distance dans le protocole Windows Pragmatic General Multicast (PGM), est remarquable car nous avons eu des correctifs pour cela au cours des mois précédents", a écrit Ullrich. « Mais l’exploitation devrait être difficile. Il nécessitera un accès au réseau local et n’est généralement pas activé.

Jason Kitka, RSSI d'Automox, a également souligné une vulnérabilité d'élévation de privilèges de gravité moyenne (CVE-2023-36422) comme un bug que les équipes de sécurité ne devraient pas ignorer. Bien que Microsoft ait classé le bug comme un problème « important », la menace qu'il présente est critique car un attaquant peut obtenir des privilèges système en exploitant la vulnérabilité, a écrit Kitka dans un communiqué. blog récents. « La stratégie d'atténuation la plus efficace contre une telle menace consiste à appliquer rapidement les correctifs disponibles et à s'assurer qu'ils sont à jour », a-t-il écrit.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.