Satnam Narang, Principal Research Engineer, chez Tenable, commente :

« La vulnérabilité la plus critique en octobre est CVE-2020-16898, une vulnérabilité d’exécution de code à distance dans le protocole TCP / IP de Windows. Surnommée "Bad Neighbor" par les chercheurs de McAfee, la faille est due au fait que le protocole susmentionné ne gère pas correctement les paquets ICMPv6 Router Advertisement. Pour exploiter cette vulnérabilité, il suffit à un cybercriminel d’envoyer un Router Advertisement ICMPv6 malveillant à la machine Windows ciblée. Son score CVSSv3 est de 9.8, soit le plus élevé attribué à une vulnérabilité dans ce mois-ci. Microsoft a également corrigé CVE-2020-16899, une vulnérabilité de déni de service dans le protocole TCP / IP de Windows. Les deux vulnérabilités ont été découvertes en interne par Microsoft et sont classées comme "exploitation plus probable", selon l’indice d’exploitabilité de Microsoft.

Microsoft a également abordé CVE-2020-16896, une vulnérabilité de divulgation d’information dans le protocole Windows Remote Desktop (RDP). Alors que la vulnérabilité est classée comme "Importante" et a reçu un score CVSSv3 de 7.5, Microsoft affirme que son exploitation est "plus probable". Pour exploiter la faille, un cybercriminel doit se connecter à un système qui exécute RDP et lui envoyer des requêtes spécialement conçues pour lui. Ces informations pourraient être utilisées par l’attaquant pour d’autres compromissions. RDP est une cible de choix pour les cybercriminels, en particulier ceux qui cherchent à lancer des attaques ransomware. Si une organisation expose du RDP sur internet, elle doit s’assurer qu’elle a pris les mesures appropriées pour le renforcer, et notamment s’assurer que tous les correctifs sont appliqués en temps opportun. »

CVE-2020-1472 : des cybercriminels utilisent la vulnérabilité Zerologon dans la chaîne d’exploitation avec des vulnérabilités non corrigées

« Par ailleurs, une nouvelle alerte émise par le CISA et le FBI indique que des cybercriminels utiliseraient principalement CVE-2018-13379 pour obtenir un accès initial aux environnements cibles. Il s’agit d’une vulnérabilité de type "path traversal" dans la solution de réseau privé virtuel (VPN) FortiOS Secure Socket Layer (SSL) de Fortinet. Elle a été corrigée par Fortinet en avril 2019. Cependant, ce n’est qu’après que les détails d’exploitation ont été rendus publics en août 2019 que des rapports ont émergé faisant état d’attaquants l’exploitant dans la nature. En plus de la vulnérabilité Fortinet utilisée pour obtenir un accès initial, le CISA et le FBI ont également observé "dans une moindre mesure" les cybercriminels utilisant CVE-2020-15505, une vulnérabilité d’exécution de code à distance dans le noyau et le connecteur de MobileIron. Vous pouvez retrouver l’intégralité de l’analyse Tenable sur cette vulnérabilité en cliquant sur ce lien. »