Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Global Security Mag : Le Magazine Trimestriel sur la Sécurité, le stockage, la dématérialisation...

Global Security Mag est un magazine trimestriel sur le thème de la sécurité logique et physique publié et diffusé à 5.000 exemplaires.
Notre revue est une source d’information indispensable à tous les acteurs de la filière sécurité. Elle est destinée à tous les professionnels de la sécurité informatique et physique : RSSI, Risk Manager, DSI, Administrateurs Réseaux, etc. dans les entreprises et administrations de toute taille...
Notre publication propose un résumé de tous les articles en anglais.
Le magazine est aussi diffusé en version PDF.

Contactez-nous

Patch Tuesday décembre 2022

décembre 2022 par Saeed Abassi, Manager, Vulnerability Signatures, Qualys Lab.

Comme prévu, Microsoft et Adobe ont publié leurs derniers correctifs et mises à jour de sécurité.

Microsoft a publié 54 nouveaux correctifs, dont 2 pour des failles 0Day. Les vulnérabilités et exploitations en cours concernent Microsoft Windows et des composants Windows, Azure et le système d’exploitation en temps réel Azure ainsi que pour Microsoft Dynamics, Exchange Server, Office et des composants Office, SysInternals, Visual Studio, SharePoint Server, Network Policy Server (NPS), Windows BitLocker, Microsoft Edge (basé sur Chromium), le noyau Linux et des logiciels Open Source.  

De son côté Adobe a publié trois correctifs pour corriger 37 CVE, toutes classées comme Importantes. Les produits Adobe suivants ont fait l’objet de mises à jour : Experience Manager (32 bugs), Adobe Illustrator et Adobe Campaign Classic. Les failles les plus sévères sont les scripts intersite (XSS) Adobe Experience Manager (AEM) et les fuites de mémoire Adobe Illustrator.

Le correctif pour Adobe Campaign Classic résout une faille facilitant l’élévation de privilèges. Actuellement aucune faille n’est connue publiquement ou ne fait l’objet d’attaques. À noter que Adobe attribue une priorité de niveau 3 au déploiement de ces mises à jour.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités permettant : déni de service (DoS), élévation de privilèges (EoP), divulgation d’informations, exécution de code à distance (RCE), contournement des fonctions de sécurité, et usurpation.

Les vulnérabilités corrigées par Microsoft en décembre 2022 sont classées comme suit : 

Type de vulnérabilité

Quantité

Niveau de sévérité

Vulnérabilité d’élévation de privilèges 

19

Important

19

Vulnérabilité d’exécution de code à distance

24 

Important :
Critique :


7

Vulnérabilité de divulgation d’informations 

Important :

3

Vulnérabilité de contournement de fonctions 

Modérée :
Important :

1
1

Vulnérabilité de déni de service 

Modérée :
Important :

1
2

Vulnérabilité d’usurpation

2

Modérée :

2

Défense en profondeur

Aucune 

Au total, Microsoft a résolu 54 vulnérabilités : 2 CVE le 5 décembre, 51 nouvelles CVE le 13 décembre et une mise à jour de défense en profondeur Microsoft (ADV220005).

Une vulnérabilité 0Day est indiquée comme étant activement exploitée, tandis qu’une seconde a été divulguée publiquement au moment de la publication de ce papier.
Principales vulnérabilités Microsoft corrigées 
CVE-2022-44698 | Vulnérabilité de contournement des fonctions de sécurité dans Windows SmartScreen 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 5,4/10. 

Elle est classée comme modérée et semble être liée à la vulnérabilité de contournement des fonctions de sécurité de la fonctionnalité Windows Mark of the Web (CVE-2022-41091) du mois dernier. En résumé, il est possible de créer un fichier malveillant pour contourner le mécanisme de défense Mark of the Web (MOTW). Cette opération supprime la fonction MOTW du fichier afin que cette dernière ne soit pas reconnue, et autorise les utilisateurs à ouvrir des fichiers sans déclencher l’avertissement. In fine ceci entraîne une perte d’intégrité et de disponibilité des fonctionnalités de sécurité, telle que la Vue protégée (Protected View) dans Microsoft Office, fonction qui repose sur le marquage MOTW. Vu le nombre croissant d’attaques par Phishing, la correction de cette vulnérabilité est fortement recommandée.

Évaluation d’exploitabilité : Exploitation détectée 
CVE-2022-44713 | Vulnérabilité d’usurpation dans Microsoft Outlook pour Mac

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. 

Classée importante, cette vulnérabilité d’usurpation retient notre attention car elle est en lien avec les clients de messagerie. Elle permet à un attaquant d’apparaître comme un utilisateur de confiance. L’utilisateur cible recevra donc un message électronique signé, comme s’il provenait d’un utilisateur légitime. Si cette faille est associée à la vulnérabilité de contournement de sécurité dans Windows SmartScreen (CVE-2022-44698) susmentionnée, le résultat peut être très destructeur.

Évaluation d’exploitabilité : Exploitation moins probable
Zoom sur les vulnérabilités Microsoft critiques 
CVE-2022-41127 | Vulnérabilité d’exécution de code à distance dans Microsoft Dynamics NAV et Microsoft Dynamics 365 Business Central (sur site) 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,5/10. 

Cette vulnérabilité critique affecte Microsoft Dynamics NAV et Microsoft Dynamics 365 Business Central (sur site). Susceptible d’entraîner un changement de portée, cette faille de sécurité permet à un attaquant authentifié d’exécuter du code sur le serveur hôte (système d’exploitation sous-jacent) dans le cadre du compte de service Dynamics configuré pour être utilisé. Si Dynamics NAV a ouvert un port, cela permet de se connecter au protocole TCP de Windows Communication Foundation (WCF). En tant qu’utilisateur authentifié, l’attaquant peut alors tenter d’activer du code malveillant au niveau du compte du serveur via un appel réseau. À noter que toute fuite vers l’hôte doit être prise très au sérieux.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité. 

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau. 

Évaluation d’exploitabilité : Exploitation moins probable
CVE-2022-44690 etCVE-2022-44693 | Vulnérabilités d’exécution de code à distance dans Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. 

Critique, elle affecte Microsoft SharePoint Server avec un attaquant authentifié qui a des permissions sur les listes et peut donc exécuter du code distant sur le serveur SharePoint.

Ces deux vulnérabilités affectent les versions suivantes de Microsoft SharePoint : 

Microsoft SharePoint Enterprise Server 2013 Service Pack 1 et 2016, et Microsoft SharePoint Foundation 2013 Service Pack 1, Microsoft SharePoint Server 2019, Microsoft SharePoint Server Subscription Edition

Remarque : les clients qui exécutent SharePoint Server 2013 Service Pack 1 peuvent installer la mise à jour cumulative ou de sécurité qui est la même mise à jour que pour Foundation Server 2013. 

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité. 

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation moins probable 
CVE-2022-41076 | Vulnérabilité d’exécution de code à distance dans PowerShell 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,5/10. 

Cette vulnérabilité critique affecte PowerShell avec un utilisateur authentifié qui, quel que soit son niveau de privilège, peut intervenir sur la configuration de session distante PowerShell et exécuter des commandes non approuvées sur le système cible. Il est important de préciser que, généralement, suite à la violation initiale, les attaquants utilisent les outils disponibles sur le système pour garder de la réserve ou de l’avance sur un réseau. PowerShell étant l’un des outils les plus adaptés qu’ils puissent trouver, nous recommandons vivement de tester et de corriger cette faille.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation plus probable. 
CVE-2022-44670 et CVE-2022-44676 | Vulnérabilités d’exécution de code à distance dans le protocole Secure Socket Tunneling Protocol (SSTP) de Windows

Ces deux vulnérabilités affichent un score de sévérité CVSSv3.1 de 8,1/10. 

Ces vulnérabilités critiques affectent le protocole Secure Socket Tunneling Protocol (SSTP) de Windows avec, selon Microsoft, un attaquant qui doit gagner une situation de course afin de pouvoir exploiter ces failles. Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS. Si vous ne disposez pas de ce service, nous recommandons de désactiver l’option. Sinon, testez et déployez ces correctifs immédiatement.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel et une mise à jour.

Évaluation d’exploitabilité : Exploitation improbable
CVE-2022-41089 | Vulnérabilité d’exécution de code à distance dans l’infrastructure de développement .NET 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. 

Cette mise à jour corrige une faille de sécurité lorsque le mode restreint est déclenché pour l’analyse de fichiers XPS. Les documents XPS utilisent des éléments structurels ou sémantiques tels que des structures de table, des storyboards ou des liens hypertexte. Cette vulnérabilité peut entraîner un mauvais affichage sur les lecteurs WPF, qui pourraient autoriser l’exécution de code à distance sur un système affecté. 

Il existe aussi une solution de contournement pour ce problème.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation moins probable

Trois vulnérabilités de déni de service (DoS) sont corrigées ce mois-ci. La vulnérabilité DoS qui concerne Windows Hyper-V (CVE-2022-44682) affecte la fonctionnalité de l’hôte Hyper-V. Microsoft n’a pas fourni beaucoup de détails, mais il n’est jamais bon qu’un système d’exploitation invité puisse influencer de manière négative l’OS hôte.

19 correctifs ont été publiés pour corriger des vulnérabilités d’élévation de privilèges (EoP), dont des correctifs pour des failles du spooler d’impression, dans le prolongement de la vulnérabilité PrintNightmare. La vulnérabilité d’élévation de privilèges dans le noyau DirectX Graphics Kernel (CVE-2022-44710) est mentionnée comme étant divulguée publiquement.

La vulnérabilité de contournement des fonctions de sécurité dans l’agent Azure Network Watcher Agent (CVE-2022-44699) est une autre faille importante du mois. En effet, elle permet à un attaquant de mettre un terme à la capture de paquets depuis l’agent Network Watcher, ce qui peut entraîner l’absence de logs. Toute entreprise utilisant une extension VM pour la collecte de logs doit considérer cette faille comme étant critique.

La faille d’émulation de Microsoft Edge (basé sur Chromium) est corrigée pour empêcher un attaquant de modifier le contenu de la zone de remplissage automatique des données de formulaire.

Ce mois-ci voit aussi la publication d’un nouvel avis de sécurité (ADV220005) qui fournit des recommandations supplémentaires sur des pilotes tiers certifiés par le programme de développement matériel Microsoft Windows.
Synthèse de la publication Microsoft

Les notes de publication du mois concernent de nombreuses gammes de produits Microsoft et de nombreux produits/versions Microsoft, y compris mais sans s’y limiter, l’infrastructurev.NET, Azure, Client Server Run-time Subsystem (CSRSS), le pilote Microsoft Bluetooth Driver, Microsoft Dynamics, Microsoft Edge (basé sur Chromium), le composant graphique Microsoft (Microsoft Graphics Component), Microsoft Office, Microsoft Office OneNote, Microsoft Office SharePoint, Microsoft Office Visio, la bibliothèque de codecs Microsoft Windows, Windows Hyper-V, SysInternals, les certificats Windows, les contacts Windows, Windows DirectX, Windows Error Reporting, Windows Fax Compose Form, Windows HTTP Print Provider, Windows Kernel, Windows PowerShell, Windows Print Spooler Components, Windows Projected File System, Windows Secure Socket Tunneling Protocol (SSTP), Windows SmartScreen, Windows Subsystem pour Linux et Windows Terminal. 

Les téléchargements concernent Cumulative Update (mise à jour cumulative), Monthly Rollup (déploiement mensuel), Security Only (sécurité uniquement) et Security Update (mise à jour de sécurité). 

EXÉCUTEZ l’atténuation avec Qualys Custom Assessment and Remediation (CAR)

Grâce au service Qualys d’évaluation et de remédiation personnalisées (Custom Assessment and Remediation - CAR), un administrateur système peut lancer rapidement et facilement des mises à jour de la configuration sur votre infrastructure technologique lorsque la situation exige de déployer une solution d’atténuation ou de contournement suggérée par le fournisseur.

Essayez ce service gratuitement ! Inscrivez-vous maintenant pour évaluer gratuitement Qualys Custom Assessment and Remediation.

Il est possible de lancer la procédure d’atténuation fournie en créant un script PowerShell et en l’exécutant sur les actifs vulnérables.

Veuillez vous reporter au lien GitHub Qualys pour vérifier que la toute dernière version d’un script Qualys est bien appliquée.
CVE-2022-41077 | Vulnérabilité d’élévation de privilèges pour Windows Fax Compose Form

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10.

ÉVALUEZ l’atténuation suggérée par le fournisseur avec Policy Compliance (PC) 

La bibliothèque Qualys Policy Compliance Control Library permet d’évaluer facilement votre infrastructure technologique lorsque la situation exige de valider le déploiement d’une solution d’atténuation ou de contournement suggérée par le fournisseur. 

L’atténuation concerne un paramètre, une configuration courante ou une bonne pratique générale existante par défaut qui permet de réduire la sévérité de l’exploitation d’une vulnérabilité. 

Une solution de contournement est parfois utilisée temporairement pour exécuter une tâche spécifique lorsque la procédure standard ou planifiée ne fonctionne pas. Une fois le problème résolu, la solution de contournement est généralement abandonnée.


Voir les articles précédents

    

Voir les articles suivants