Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Microsoft corrige une paire de Zero-Days activement exploités

Republié par Platon
Republié par Platon

Date :

Vues: 120

Microsoft a corrigé cinq vulnérabilités de sécurité critiques dans sa mise à jour du Patch Tuesday de septembre, ainsi que deux vulnérabilités zéro jour classées « importantes » faisant l'objet d'attaques actives dans la nature.

Au total, Microsoft a publié 59 nouveaux correctifs corrigeant des bogues dans toute la gamme de produits : ils affectent Microsoft Windows, Exchange Server, Office, .NET et Visual Studio, Azure, Microsoft Dynamics et Windows Defender.

La mise à jour intègre également une poignée de problèmes tiers, notamment un bug zero-day critique de Chromium activement exploité cela affecte Microsoft Edge. Avec les enjeux extérieurs, le nombre de CVE s’élève à 65.

Malgré l'ampleur des correctifs, les chercheurs ont noté que la priorisation des correctifs est assez simple ce mois-ci, les zero-days, les bogues critiques et les problèmes liés au serveur Microsoft Exchange et à l'implémentation Windows du protocole TCP/IP devant passer au premier plan. la ligne pour la plupart des organisations.

Microsoft Zero-Days sous exploit actif

Alors que deux des CVE sont répertoriés comme étant utilisés par des acteurs malveillants avant la mise à jour des correctifs, un seul est répertorié comme étant connu du public. Les deux devraient figurer en tête de liste des correctifs, pour des raisons évidentes.

Le bug public se trouve dans Microsoft Word (CVE-2023-36761, CVSS 6.2); il est classé comme un problème de « divulgation d'informations », mais Dustin Childs, chercheur à la Zero Day Initiative (ZDI) de Trend Micro, a noté que cela dément sa gravité.

"Un attaquant pourrait utiliser cette vulnérabilité pour permettre la divulgation de hachages NTLM, qui seraient alors vraisemblablement utilisés dans un Attaque de style relais NTLM", a-t-il expliqué dans un mardi publication sur la version du correctif de septembre de Microsoft. « Quelle que soit la classification, le volet d'aperçu est ici également un vecteur, ce qui signifie qu'aucune interaction de l'utilisateur n'est requise. Mettez définitivement celui-ci en haut de votre liste de tests et de déploiement.

L'autre jour zéro existe dans le système d'exploitation Windows (CVE-2023-36802, CVSS 7.8), en particulier dans le proxy du service de streaming de Microsoft Stream (anciennement connu sous le nom d'Office 365 Video). Pour une exploitation réussie, un attaquant devrait exécuter un programme spécialement conçu qui permettrait une élévation des privilèges vers les privilèges d'administrateur ou de système, selon l'avis.

"Il s'agit de la huitième élévation de privilèges de vulnérabilité Zero Day exploitée à l'état sauvage en 2023", a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable, à Dark Reading. « Parce que les attaquants ont un myriade de façons de pirater les organisations, le simple fait d’accéder à un système n’est pas toujours suffisant, c’est là que les failles d’élévation de privilèges deviennent d’autant plus précieuses, en particulier les failles zero-day.

Vulnérabilités critiques de septembre 2023

En ce qui concerne les bugs critiques, l’un des plus préoccupants est CVE-2023-29332, trouvé dans le service Azure Kubernetes de Microsoft. Cela pourrait permettre à un attaquant distant et non authentifié d'obtenir Cluster Kubernetes privilèges administratifs.

"Celui-ci se distingue par le fait qu'il est accessible depuis Internet, ne nécessite aucune interaction de l'utilisateur et est répertorié comme étant peu complexe", a prévenu Childs dans son message. « Compte tenu de l’aspect distant et non authentifié de ce bug, cela pourrait s’avérer très tentant pour les attaquants. »

Trois des correctifs jugés critiques sont des problèmes RCE qui affectent Visual Studio (CVE-2023-36792, CVE-2023-36793et CVE-2023-36796, tous avec un score CVSS de 7.8). Tous pourraient conduire à l’exécution de code arbitraire lors de l’ouverture d’un fichier de package malveillant avec une version affectée du logiciel.

« Étant donné les performances de Visual Studio utilisation répandue parmi les développeurs, l'impact de telles vulnérabilités pourrait avoir un effet domino, propageant les dommages bien au-delà du système initialement compromis », Tom Bowyer, responsable de la sécurité des produits d'Automox, dit dans un message. « Dans le pire des cas, cela pourrait signifier le vol ou la corruption de code source propriétaire, l’introduction de portes dérobées ou une falsification malveillante qui pourrait transformer votre application en une rampe de lancement pour des attaques contre d’autres. »

Le dernier problème critique est CVE-2023-38148 (CVSS 8.8, le plus sévère que Microsoft a corrigé ce mois-ci), qui permet l'exécution de code à distance non authentifié via la fonction de partage de connexion Internet (ICS) de Windows. Son risque est atténué par le fait qu'un attaquant devrait être adjacent au réseau ; de plus, la plupart des organisations n’utilisent plus ICS. Cependant, ceux qui l’utilisent encore devraient le mettre à jour immédiatement.

« Si les attaquants parviennent à exploiter cette vulnérabilité, il pourrait y avoir une perte totale de confidentialité, d'intégrité et de disponibilité », déclare Natalie Silva, ingénieure en chef en cybersécurité chez Immersive Labs. « Un attaquant non autorisé pourrait exploiter cette vulnérabilité en envoyant un paquet réseau spécialement conçu au service. Cela pourrait conduire à l’exécution de code arbitraire, entraînant potentiellement un accès non autorisé, une manipulation des données ou une interruption des services.

Autres correctifs Microsoft à prioriser

La mise à jour de septembre comprend également un ensemble de bogues de Microsoft Exchange Server jugés « plus susceptibles d'être exploités ».

Le trio de problèmes (CVE-2023-36744, CVE-2023-36745et CVE-2023-36756, tous avec une note CVSS de 8.0) affectent les versions 2016-2019 et permettent des attaques RCE contre le service.

« Bien qu'aucune de ces attaques n'entraîne de RCE sur le serveur lui-même, elles pourraient permettre à un attaquant adjacent au réseau et disposant d'informations d'identification valides de modifier les données utilisateur ou d'obtenir un hachage Net-NTLMv2 pour un compte utilisateur ciblé, qui pourrait à son tour être piraté pour récupérer. un mot de passe utilisateur ou relayé en interne dans le réseau pour attaquer un autre service », explique Robert Reeves, ingénieur principal en cybersécurité chez Immersive.

Il ajoute : « Si des utilisateurs privilégiés – ceux disposant d'autorisations d'administrateur de domaine ou similaires au sein du réseau – disposent d'une boîte aux lettres créée sur Exchange, contrairement aux conseils de sécurité de Microsoft, une telle attaque par relais pourrait avoir des conséquences importantes.

Enfin, les chercheurs d'Automox ont signalé une vulnérabilité de déni de service (DoS) dans Windows TCP/IP (CVE-2023-38149, CVSS 7.5) comme priorité.

Le bug affecte n'importe quel système en réseau et « permet à un attaquant via un vecteur réseau de perturber le service sans aucune authentification de l'utilisateur ni grande complexité », a déclaré Jason Kikta, RSSI d'Automox, dans une analyse du Patch Tuesday. « Cette vulnérabilité représente une menace importante… pour le paysage numérique. Ces faiblesses peuvent être exploitées pour surcharger les serveurs, perturbant le fonctionnement normal des réseaux et des services et les rendant indisponibles pour les utilisateurs.

Cela dit, les systèmes sur lesquels IPv6 est désactivé ne sont pas affectés.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.