Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Wolfgang Kandek, CTO, Qualys Inc. : L’essentiel du Patch Tuesday

février 2015 par Wolfgang Kandek, CTO, Qualys Inc.

La publication du Patch Tuesday de février 2015 intervient après un mois assez agité pour les professionnels de la sécurité de l’information. Adobe, plutôt que Microsoft, nous a largement occupés avec la découverte de nombreuses vulnérabilités Zero-Day dans son logiciel Flash.

Tous les problèmes connus ont été résolus très vite par Adobe :

https://helpx.adobe.com/security/pr... http://https/helpx.adobe.com/security/products/flash-player/apsb15-03.html

https://helpx.adobe.com/security/pr...

les correctifs étant globalement disponibles en moins d’une semaine. Il n’en reste pas moins que la multitude de vulnérabilités que les attaquants parviennent à déceler dans les logiciels les plus courants et que nous utilisons au quotidien est assez inquiétante.

Ce mois-ci, Microsoft a publié rien de moins que neuf bulletins : quatre corrigent des vulnérabilités de type RCE (exécution de code à distance) et cinq, jugés importants, résolvent plusieurs vulnérabilités locales telles que des élévations de privilèges et des divulgations d’information (https://technet.microsoft.com/de-de...)

Après installation de la mise à jour APSB14-04 d’Adobe, le correctif pour Internet Explorer (IE) MS15-009 (https://technet.microsoft.com/libra...) est le bulletin de sécurité le plus important de Microsoft. Toutes les versions d’IE sont concernées ; le patch corrige 41 vulnérabilités, un nombre très élevé qui peut s’expliquer par le fait qu’il n’y a pas eu de bulletin pour IE le mois dernier. L’une des vulnérabilités exposées n’est pas de type RCE, mais « juste » une divulgation d’informations que les pirates associent à d’autres vulnérabilités pour prendre le contrôle des machines visées.

Ensuite, MS15-012 (https://technet.microsoft.com/libra...) corrige trois vulnérabilités dont une de type RCE qui peut être exploitée pour prendre le contrôle de la machine de l’utilisateur. Un pirate peut inciter l’utilisateur à ouvrir un document spécialement formaté, souvent facilité par l’utilisation des canaux sociaux, par exemple un e-mail avec une pièce jointe intéressante. Parce que ce type d’attaque est assez fréquent, nous pensons que ce bulletin est prioritaire.

MS15-010, un bulletin critique pour le système d’exploitation Windows, résout six vulnérabilités présentes dans toutes les versions de l’OS, de Server 2003 à Windows 8.1 et Server 2008 R2. L’une des vulnérabilités, CVE-2015-0010, a été révélée publiquement par le Project Zero de Google à expiration de sa période d’embargo de 90 jours, mais aucune tentative d’exploitation n’a été signalée d’après Microsoft.

MS15-011 est une vulnérabilité intéressante au sein de la gestion des stratégies de groupe de Microsoft. La faille permet une exécution de code à distance. Le pirate doit pousser l’utilisateur à connecter sa machine cliente au domaine malveillant du pirate, situant l’attaque carrément au cœur de l’entreprise, le pirate gérant alors le contrôleur de domaines ou pouvant se faire passer pour tel. À noter que Microsoft ne résout pas la vulnérabilité dans Windows Server 2003, proclamant que le correctif serait trop invasif pour garantir le fonctionnement continu de 2003. Raison de plus pour se débarrasser au plus vite la plate-forme Server 2003 qui, de toute façon, ne sera plus supportée à partir de juillet 2015.

Les autres bulletins résolvent des vulnérabilités locales dans Office (MS15-013) avec un problème ASLR, dans la stratégie de groupe (MS15-014), dans Windows (MS15-015 et MS15-016) et dans Virtual Machine Manager dans Server 2012 (MS15-017). Michal Zalewski explique sur son blog (http://lcamtuf.blogspot.fr/2015/02/...) que MS15-016 a été découvert par son programme afl-fuzz, un outil de test à données aléatoires qu’il peaufine depuis près d’un an et qui découvre des bugs étonnants. Dans ce cas précis, il note juste que Microsoft a résolu le problème assez vite, en 60 jours exactement entre la découverte du bug et la publication du patch.




Voir les articles précédents

    

Voir les articles suivants