L’année 2014 a été malgré tout assez turbulente avec l’apparition de quantité de problèmes dans des domaines nouveaux et inattendus tels qu’OpenSSL et Linux. Un plus grand nombre de vulnérabilités Zero Day (pour lesquelles l’information est de notoriété publique avant que le patch soit disponible) a par ailleurs été enregistré cette année.

En comptant Microsoft et Adobe, 24 bulletins ont reconnu que des vulnérabilités étaient connues publiquement avant qu’un patch soit disponible. Par ailleurs, l’attention intense dont Internet Explorer (IE) a fait l’objet de la part des chercheurs en sécurité s’est traduite par le traitement d’un grand nombre de vulnérabilités et expositions courantes (CVE). Cet effet ne s’est ralenti que récemment à la suite des changements apportés par Microsoft au processus d’allocation de mémoire sous IE.

Mais revenons aux patches de ce mois. Cinq patches traitent des risques d’exécution de code à distance (RCE), qui sont les failles les plus critiques :

MS14-080 pour Internet Explorer et MS14-084 pour VBscript. Dans les deux cas, le principal vecteur d’attaque est une page Web malveillante, autrement dit un site Web contrôlé par l’attaquant – pensez par exemple aux centaines de milliers de sites sous Drupal devenus récemment exploitables suite à une vulnérabilité liée à l’injection de code SQL dans un composant clé.

MS14-081 dans Word, MS14-083 dans Excel et MS14-082 dans un composant Office. Le vecteur d’attaque est ici un document malveillant qui, une fois ouvert par l’utilisateur ciblé, exploitera la vulnérabilité pour prendre le contrôle de la machine de l’utilisateur. Devenus particulièrement doués dans ce type d’attaques, les attaquants adaptent le titre et le contenu du document en question aux intérêts de la cible au point que les attaques par document interposé sont assez réussies.

Les deux autres bulletins portent sur des problèmes relatifs au composant OWA (Outlook Web Access) de Microsoft Exchange et à une bibliothèque graphique sous Windows. Prévue la semaine dernière, la publication du patch Exchange a été retardée pour des problèmes de test de dernière minute. La faille dans la bibliothèque graphique peut d’autre part être utilisée pour capturer des informations sur la configuration de la mémoire de la machine. Cette vulnérabilité a donc une fonction auxiliaire. En effet, lors d’une attaque, elle fournit des informations utiles mais elle doit être associée à une autre vulnérabilité pour prendre le contrôle de la machine de l’utilisateur.

De même, Adobe publie deux avis de sécurité qualifiés de critiques, ce qui signifie qu’ils peuvent servir à exécuter du code à distance. APSB14-27 est une mise à jour pour Adobe Flash tandis qu’APSB14-28 est une nouvelle version d’Adobe Reader et d’Acrobat. Nous recommandons d’appliquer ces patches le plus vite possible sachant que Flash et PDF sont souvent utilisés comme vecteurs dans les campagnes d’attaque. La mise à jour de Flash est automatique pour les utilisateurs de Google Chrome et Internet Explorer 10 ou 11 ; les autres utilisateurs doivent télécharger les dernières versions directement depuis Adobe.

Pour finir, la vulnérabilité POODLE d’octobre a fait l’objet d’une mise à jour. La faille initialement documentée se limitait à SSL v3. Elle peut être utilisée pour décoder des données utilisateur chiffrées si l’attaquant a la main sur le navigateur de la victime. S’agissant d’une faille dans la spécification du protocole SSL, la vulnérabilité POODLE est impossible à corriger. Le seul moyen de la traiter est de ne plus utiliser SSL v3, ni du côté serveur ni du côté client. Mozilla Firefox a déjà éliminé SSL v3 de sa version actuelle (v34) et Google Chrome fera de même dans sa prochaine version 40.

Mais POODLE se diffuse. Adam Langley de Google a annoncé que POODLE affecte également certains déploiements de TLS, protocole jusqu’alors considéré comme immunisé contre le problème. Dans le cas de TLS, il est toutefois possible de corriger ce problème qui provient très certainement d’une réutilisation de code source pour décoder le remplissage d’un déploiement SSL. Les accélérateurs SSL de F5 Networks et A10 Networks sont affectés – demandez des patches à vos fournisseurs si vous utilisez l’un de ces équipements. Le service SSL Labs de Qualys intègre déjà la détection de cette nouvelle faille (CVE-2014-8730) et vous pouvez l’utiliser pour vérifier vos sites Web publics. Pour en savoir plus, rendez-vous sur le blog d’Ivan Ristic, rubrique « POODLE bites TLS ».