Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Wolfgang Kandek, CTO Qualys : Patch Tuesday Avril 2015

avril 2015 par Wolfgang Kandek, CTO Qualys

Le Patch Tuesday d’avril poursuit la tendance 2015 aux patches d’envergure. En effet, ce mois-ci, Microsoft publie une série de 11 patches pour résoudre 26 vulnérabilités. Ces vulnérabilités affectent Windows et Office tant sur les serveurs que sur les postes de travail. Par ailleurs, Oracle publie sa mise à jour trimestrielle Critical Patch Update qui corrige 100 vulnérabilités dans plus de 25 catégories de logiciels dont Java, le SGBDR Oracle et MySQL.

Ajoutez à cela les correctifs pour les logiciels Adobe, Mozilla et Google Chrome suite aux résultats du concours PWN2OWN à Vancouver, et tout professionnel chargé de protéger la sécurité informatique voit sa charge de travail doubler ce mois-ci.

Commençons par Microsoft :11 bulletins de MS15-032 à MS15-042 dont quatre sont critiques. Mais les priorités sont claires ce mois-ci :

La priorité Numéro Un est MS15-033, le bulletin pour Office. Il corrige cinq vulnérabilités de type RCE (exécution de code à distance) parmi lesquelles une « Zero Day »,à savoir CVE-2015-1641 qui est actuellement exposée à des attaques limitées dans Word 2010. Cela vaut également pour Word 2007, 2012 et même Word 2011 sur Mac.Microsoft la classe seulement comme « importante » parce que l’exploit oblige l’utilisateur à ouvrir un fichier malveillant. Il s’agit cependant d’une barrière de sécurité très fragile pour la plupart des entreprises dans la mesure où les salariés ont l’habitude d’ouvrir des fichiers Word au format DOCX pour leur travail, format dans lequel ils ont confiance. L’attaquant envoie donc un e-mail contenant le fichier malveillant en pièce jointe ou en lien. Si cet e-mail est correctement formulé, des taux de clic/d’ouverture de plus de 10% sont garantis.

En plus de cette vulnérabilité 0-day, le bulletin corrige deux vulnérabilités « critiques », CVE-2015-1649 et 1651, de type RCE qui sont déclenchées sous Office 2007 et 2010 par la simple consultation d’un e-mail dans le volet d’aperçu d’Outlook. Ce volet qui affiche automatiquement les fichiers RTF a déjà fait l’objet d’attaques 0-day en mars 2014. À l’époque, Microsoft avait fait savoir que EMET permettait de lutter contre les attaques, mais cette fois-ci aucune indication quant à l’efficacité d’EMET.

Notre patch numéro deux est MS15-034, une vulnérabilité de type RCE pour les serveurs.Ce bulletin traite la vulnérabilité CVE-2015-1635 située dans la pile HTTP sur Windows Server 2008 et 2012 et qui touche également Windows 7 et 8. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code sur votre serveur Web IIS via un compte utilisateur IIS. L’attaquant utilise ensuite un exploit pour la deuxième vulnérabilité locale (EoP) pour escalader les privilèges, devenir administrateur et installer un code d’exploit permanent. L’attaque est simple à mener et doit donc être résolue rapidement. Si vous ne pouvez pas la corriger immédiatement, intéressez-vous à la solution de contournement suggérée dans la mise en cache IIS. Il s’agit de la vulnérabilité prioritaire pour votre équipe en charge des serveurs si vous utilisez des serveurs Web Windows sur Internet. En numéro trois, nous avons APS15-06 pour Adobe Flash.Adobe reconnaît que l’une des vulnérabilités (CVE-2015-3043) est exposée. Accordez une priorité élevée à ce correctif à moins que vous ne travailliez avec Google Chrome ou des versions récentes d’Internet Explorer qui feront automatiquement la mise à jour de Flash.

En numéro quatre, MS15-032, la mise à jour cumulative pour Internet Explorer. Ce mois-ci, elle corrige 10 vulnérabilités dont neuf sont classées critiques. Toutes les versions d’Internet Explorer, de IE6 sous Windows 2003 à IE11 sous Windows 8.1, sont concernées.L’attaquant a besoin que l’utilisateur ouvre une page Web malveillante, ce qu’il obtient généralement en envoyant des liens par e-mail et en prenant le contrôle d’un site Web que l’utilisateur a l’habitude de consulter. La deuxième méthode consiste à collecter les vulnérabilités dans certains CMS courantspour prendre le contrôle de centaines de milliers de serveurs Web, par exemple lors de la campagne SoakSoak (https://blog.sucuri. net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html).

Le dernier bulletin critique est un MS15-035, une vulnérabilité dans le format des graphiques EMF.Là encore, l’attaquant a besoin de l’aide de l’utilisateur pour exécuter l’exploit, ici en l’occurrence via le rendu d’un fichier graphique.Nombreux sont les moyens d’y parvenir : consulter un site Web, ouvrir un e-mail ou consulter un fichier partagé sont autant de vecteurs possibles. Néanmoins, cela limite essentiellement l’exploitation aux ordinateurs de bureau/portables. La vulnérabilité se cantonne également aux anciennes versions de Windows, telles que Windows 7, Vista, Server 2003 et 2008. Les toutes dernières versions de Windows pour poste de travail8 et 8.1 ne sont pas affectées, pas plus que Windows Server 2008R2 et 2012.

Les autres bulletins sont de moindre gravité et traitent des vulnérabilités sous Windows, Sharepoint, .NET et Hyper-V et qui devraient être résolues lors de votre cycle de patch normal.

Oracle a pré-annoncé une importante série de patches dans sa mise à jour Critical Patch Update d’avril 2015. Si vous êtes utilisateur Oracle, sachez que 100 vulnérabilités sont corrigées à l’aide des mises à jour.Il existe une mise à jour critique de Java pour les postes de travail à consulter de toute urgence.Il y a aussi une mise à jour pour Outside-In qui déclenche typiquement une mise à jour d’OWA de Microsoft un mois plus tard. Préparez donc votre équipe chargée des serveurs à mettre à jour leur serveur Exchange.

Lors du concours Pwn2Own organisé à CanSecWest le mois dernier, les chercheurs en sécurité ont testé leurs exploits contre des combinaisons de navigateurs et systèmes d’exploitation courants. Cette fois-ci, toutes les combinaisons (Chrome, Firefox, IE sur Windows et Safari sous OSX) ont été attaquées avec succès et le sponsor de Pwn2Own a remis plus de 500 000 dollars aux gagnants, le vainqueur empochant plus de 120 000 dollars. Les vulnérabilités sont désormais en cours de correction par les propriétaires respectifs des logiciels. Mozilla a publié Firefox 36.0.4 qui corrige à la fois les deux CVE et Google a également publié une nouvelle version de Chrome.




Voir les articles précédents

    

Voir les articles suivants