Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Microsoft corrige un zero-day – et deux bogues curieux qui retirent Secure de Secure Boot

Republié par Platon
Republié par Platon

Date :

Vues: 120
by Paul Canard

C'est Patch Tuesday Week (si vous nous permettez notre pléonasme quotidien), et les mises à jour de Microsoft incluent des correctifs pour un certain nombre de failles de sécurité que l'entreprise a surnommées Critical, ainsi qu'un correctif zero-day, bien que le 0-day n'obtienne qu'une note de Important.

Le 0-day s'en est probablement sorti sans être critique car il ne s'agit pas d'un trou d'exécution de code à distance (RCE), ce qui signifie qu'il ne peut pas être exploité par quelqu'un qui n'a pas déjà piraté votre ordinateur.

Celui-là est CVE-2023-28252, un bogue d'élévation de privilèges (EoP) dans Pilote de système de fichiers journaux commun Windows.

Le problème avec les bogues Windows EoP, en particulier dans les pilotes installés par défaut sur chaque ordinateur Windows, est qu'ils permettent presque toujours aux attaquants avec peu ou pas de privilèges d'accès significatifs de se promouvoir directement auprès du SYSTEM compte, leur donnant un contrôle quasi total sur votre ordinateur.

Programmes exécutés en tant que SYSTEM peut généralement : charger et décharger les pilotes du noyau ; installer, arrêter et démarrer les services système ; lire et écrire la plupart des fichiers sur l'ordinateur ; modifier les privilèges d'accès existants ; exécuter ou tuer d'autres programmes ; espionner d'autres programmes ; gâcher les parties sécurisées du registre ; et beaucoup plus.

Ironiquement, le Common Log File System (CLFS) est conçu pour accepter et gérer les demandes de journalisation officielles au nom de tout service ou application sur l'ordinateur, dans le but d'assurer l'ordre, la précision, la cohérence et la sécurité dans la tenue des registres officiels au niveau du système.

Deux trous critiques à score élevé

Deux bugs critiques en particulier ont attiré notre attention.

Le premier est CVE-2023-21554, un trou RCE dans le File d'attente de messages Microsoft système, ou MSMQ, un composant censé fournir un moyen sûr pour que les programmes communiquent de manière fiable, quel que soit le type de connexions réseau existant entre eux.

Le service MSMQ n'est pas activé par défaut, mais dans les systèmes principaux à haute fiabilité où les messages réseau TCP ou UDP réguliers ne sont pas considérés comme suffisamment robustes, MSMQ peut être activé.

(Microsoft propres exemples des applications qui pourraient bénéficier de MSMQ incluent les services de traitement financier sur les plates-formes de commerce électronique et les systèmes de traitement des bagages dans les aéroports.)

Malheureusement, même si ce bogue n'est pas dans la nature, il a reçu une note critique et un "score de danger" CVSS de 9.8/10.

La description du bogue en deux phrases de Microsoft dit simplement :

Pour exploiter cette vulnérabilité, un attaquant devrait envoyer un paquet MSMQ malveillant spécialement conçu à un serveur MSMQ. Cela pourrait entraîner l'exécution de code à distance côté serveur.

Sur la base du score CVSS élevé et de ce que Microsoft n'a pas mentionné dans la description ci-dessus, nous supposons que les attaquants exploitant ce trou n'auraient pas besoin d'être connectés ou d'avoir d'abord suivi un processus d'authentification.

Danger DHCP

Le deuxième bug critique qui a attiré notre attention est CVE-2023-28231, un trou RCE dans Microsoft Service de serveur DHCP.

DHCP est l'abréviation de protocole de configuration d'hôte dynamique, et il est utilisé dans presque tous les réseaux Windows pour distribuer des adresses réseau (numéros IP) aux ordinateurs qui se connectent au réseau.

Cela permet d'éviter que deux utilisateurs essaient accidentellement d'utiliser le même numéro IP (ce qui entraînerait un conflit entre leurs paquets réseau), ainsi que de garder une trace des appareils connectés à tout moment.

Habituellement, les bogues d'exécution de code à distance dans les serveurs DHCP sont extrêmement dangereux, même si les serveurs DHCP ne fonctionnent généralement que sur le réseau local, et non sur Internet.

C'est parce que DHCP est conçu pour échanger des paquets réseau, dans le cadre de sa "danse de configuration", non seulement avant que vous n'ayez entré un mot de passe ou avant que vous n'ayez fourni un nom d'utilisateur, mais comme la toute première étape pour mettre votre ordinateur en ligne. au niveau du réseau.

En d'autres termes, les serveurs DHCP doivent être suffisamment robustes pour accepter et répondre aux paquets provenant d'appareils inconnus et non fiables, juste pour amener votre réseau au point où il peut commencer à décider du degré de confiance à leur accorder.

Heureusement, cependant, ce bogue particulier obtient un score légèrement inférieur au bogue MSMQ susmentionné (son niveau de danger CVSS est de 8.8/10) car il se trouve dans une partie du service DHCP qui n'est accessible depuis votre ordinateur qu'après vous être connecté.

Dans les mots de Microsoft :

Un attaquant authentifié pourrait tirer parti d'un appel RPC spécialement conçu vers le service DHCP pour exploiter cette vulnérabilité.

L'exploitation réussie de cette vulnérabilité nécessite qu'un attaquant doive d'abord accéder au réseau restreint avant de lancer une attaque.

Lorsque Secure Boot n'est qu'un démarrage

Les deux derniers bugs qui nous ont intrigués étaient CVE-2023-28249 ainsi que le CVE-2023-28269, tous deux répertoriés sous le titre Vulnérabilité de contournement de la fonctionnalité de sécurité du gestionnaire de démarrage Windows.

Selon Microsoft:

Un attaquant qui parviendrait à exploiter [ces vulnérabilités] pourrait contourner Secure Boot pour exécuter du code non autorisé. Pour réussir, l'attaquant aurait besoin d'un accès physique ou de privilèges d'administrateur.

Ironiquement, l'objectif principal du système de démarrage sécurisé tant vanté est qu'il est censé vous aider à maintenir votre ordinateur sur un chemin strict et inébranlable à partir du moment où vous l'allumez jusqu'au moment où Windows prend le contrôle.

En effet, Secure Boot est censé empêcher les attaquants qui volent votre ordinateur d'injecter tout code piégé qui pourrait modifier ou subvertir le processus de démarrage initial lui-même, une astuce connue dans le jargon sous le nom de kit de démarrage.

Les exemples incluent la journalisation secrète des frappes que vous tapez lors de la saisie de votre code de déverrouillage de cryptage de disque BitLocker (sans lequel le démarrage de Windows est impossible), ou l'alimentation sournoise de secteurs de disque modifiés dans le code du chargeur de démarrage qui se lit dans le noyau Windows afin qu'il démarre de manière non sécurisée.

Ce type de trahison est souvent qualifié d'attaque de "nettoyeur diabolique", basé sur le scénario selon lequel toute personne ayant un accès officiel à votre chambre d'hôtel pendant votre absence, comme un nettoyeur traître, pourrait être en mesure d'injecter un bootkit discrètement, par exemple en démarrant brièvement votre ordinateur portable à partir d'une clé USB et en laissant un script automatique faire le sale boulot…

… puis utilisez une astuce tout aussi rapide et pratique le lendemain pour récupérer des données volées telles que des frappes au clavier et supprimer toute preuve que le bootkit ait jamais été là.

En d'autres termes, Secure Boot est destiné à protéger un ordinateur portable correctement crypté contre la corruption - même, ou peut-être surtout, par un cybercriminel qui y a physiquement accès.

Donc, si nous avions un ordinateur Windows pour une utilisation quotidienne, nous corrigerions ces bogues comme s'ils étaient critiques, même si la propre note de Microsoft n'est qu'importante.

Que faire?

  • Corrigez maintenant. Avec un jour zéro déjà exploité par des criminels, deux bogues critiques à score CVSS élevé qui pourraient conduire à l'implantation de logiciels malveillants à distance et deux bogues qui pourraient supprimer Secure de Secure Boot, pourquoi tarder ? Faites-le aujourd'hui!
  • Lire Rapport des SophosLabs qui examine plus largement les correctifs de ce mois-ci. Avec 97 CVE corrigés au total dans Windows lui-même, Visual Studio Code, SQL Server, Sharepoint et de nombreux autres composants, il y a beaucoup plus de bogues que les administrateurs système doivent connaître.
spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.