Microsoft et Fortinet corrigent des bugs sous exploit actif • The Register

Patch Tuesday Le Patch Tuesday de Microsoft inclut de nouveaux correctifs pour 74 bogues, dont deux sont déjà activement exploités et neuf sont classés critiques. Commençons par les deux que les mécréants ont trouvés avant que Redmond ne publie un correctif.

Tout d'abord : donnez la priorité au correctif CVE-2023-23397, un bogue d'élévation des privilèges dans Microsoft Outlook qui a reçu une note CVSS de 9,8 sur 10. Bien que les détails du trou n'aient pas été divulgués publiquement, il a déjà été exploité dans la nature par des mécréants en Russie contre le gouvernement, l'énergie et les secteurs militaires en Europe, nous dit-on. Microsoft répertorie la complexité de l'attaque comme "faible".

Redmond est suffisamment inquiet à propos de celui-ci pour avoir publié un guide du bogue, et fourni une documentation et un script pour déterminer si votre entreprise a été ciblée par des criminels essayant d'exploiter cette vulnérabilité. Autrement dit : c'est du sérieux.

Le CVE permet à un attaquant distant non authentifié d'accéder au hachage Net-NTLMv2 d'une victime en envoyant un e-mail personnalisé à un système compromis, puis d'utiliser le hachage pour authentifier l'attaquant.

"L'attaquant pourrait exploiter cette vulnérabilité en envoyant un e-mail spécialement conçu qui se déclenche automatiquement lorsqu'il est récupéré et traité par le client Outlook", a expliqué Microsoft. "Cela pourrait conduire à une exploitation AVANT que l'e-mail ne soit affiché dans le volet de prévisualisation."

Bien que Microsoft ne fournisse aucun détail sur le type d'actes néfastes que commettent les attaquants après avoir exploité le bogue - ou sur l'étendue des attaques - Dustin Childs de Zero Day Initiative conseille : « Testez et déployez ce correctif rapidement.

Quant à savoir qui abusait de la faille de sécurité en premier lieu, Microsoft a pointé du doigt quelqu'un en Russie qui menait "des attaques ciblées contre un nombre limité d'organisations des secteurs gouvernemental, des transports, de l'énergie et militaire en Europe".

La faille a été signalée au géant informatique par le CERT ukrainien ainsi que par les équipes internes de renseignement et de recherche sur les menaces du fabricant Windows.

Le deuxième bogue sous exploit actif est connu du public et lié à une vulnérabilité similaire, CVE-2022-44698, que Microsoft a corrigée en décembre 2022.

Cette nouvelle vulnérabilité, CVE-2023-24880, est un bogue de contournement des fonctionnalités de sécurité de Windows SmartScreen, et permet aux attaquants de créer des fichiers malveillants qui peuvent contourner les fonctionnalités de sécurité Mark-of-the-Web. Bien qu'il ne soit noté que 5,4/10, il est déjà exploité par des escrocs exigeant le paiement d'une rançon. N'oubliez pas, cher lecteur : le CVSS n'est qu'un nombre et n'indique pas les risques réels.

Le groupe d'analyse des menaces (TAG) de Google a repéré ce problème en premier et a déclaré qu'il était utilisé pour fournir le rançongiciel Magniber. L'équipe TAG a documenté plus de 100 000 téléchargements à ce jour, principalement en Europe, donc bien que cette vulnérabilité n'ait reçu qu'un CVSS 5.4, à moins que vous ne vouliez vous occuper de systèmes cryptés et d'extorsion, corrigez-le maintenant.

Parmi les autres vulnérabilités critiques : nous suggérons ensuite de corriger CVE-2023-23392, un bogue d'exécution de code à distance (RCE) de la pile de protocoles HTTP classé 9.8 CVSS. Cela affecte Windows 11 et Windows Server 2022.

Un attaquant distant non authentifié pourrait exploiter cette vulnérabilité en envoyant un paquet spécialement conçu à un serveur ciblé qui utilise la pile de protocoles HTTP (http.sys), selon Microsoft. Le malfaiteur pourrait alors exécuter du code au niveau SYSTEM sans aucune interaction de l'utilisateur.

"Cette combinaison rend ce bogue vermifuge - au moins via des systèmes qui répondent aux exigences cibles", a noté Childs.

CVE-2023-23415 est un autre bogue RCE critique classé 9,8 qui, selon Childs, est également potentiellement vermifuge. C'est le résultat d'une faille dans le protocole ICMP (Internet Control Message Protocol).

"Un attaquant pourrait envoyer une erreur de protocole de bas niveau contenant un paquet IP fragmenté dans un autre paquet ICMP dans son en-tête à la machine cible", a expliqué Microsoft. "Pour déclencher le chemin de code vulnérable, une application sur la cible doit être liée à un socket brut."

Parmi les CVE critiques restantes, CVE-2023-21708, CVE-2023-23404 et CVE-2023-23416 pourraient entraîner l'exécution de code à distance.

CVE-2023-23411 est une vulnérabilité de déni de service dans l'hyperviseur Windows Hyper-V, qui, selon Microsoft, pourrait "affecter la fonctionnalité de l'hôte Hyper-V".

Les deux derniers bogues critiques, CVE-2023-1017 et CVE-2023-1018, sont une paire de failles hors limites de lecture et hors limites d'écriture dans le code d'implémentation de référence de Trusted Platform Module 2.0 qui sont maintenant corrigé dans les produits Microsoft.

Ce mois-ci également, Fortinet a publié des correctifs pour 15 failles. Parmi celles-ci, CVE-2022-41328 est une vulnérabilité transversale dans FortiOS et a été exploitée pour cibler des agences gouvernementales et de grandes organisations.

"Une limitation inappropriée d'un nom de chemin à une vulnérabilité de répertoire restreint ("traversée de chemin") [CWE-22] dans FortiOS peut permettre à un attaquant privilégié de lire et d'écrire des fichiers arbitraires via des commandes CLI spécialement conçues", a déclaré Fortinet dans un avis de sécurité publié plus tôt. ce mois-ci.

Quelques jours plus tard, Fortinet a publié une analyse indiquant que des malfaiteurs utilisaient la faille pour tenter d'attaquer de grandes organisations et de voler leurs données, et de corrompre le système d'exploitation ou les fichiers.

"La complexité de l'exploit suggère un acteur avancé et qu'il est fortement ciblé sur des cibles gouvernementales ou liées au gouvernement", indique l'analyse.

La soirée de correctifs mensuelle d'Adobe comprenait des correctifs pour 105 vulnérabilités dans ses produits Photoshop, Experience Manager, Dimension, Commerce, Substance 3D Stager, Cloud Desktop Application et Illustrator.

Le fabricant de logiciels dit qu'il n'est au courant d'aucun de ces problèmes de sécurité exploités à l'état sauvage.

L'outil de rendu et de conception Dimension 3D d'Adobe a enregistré le plus grand nombre de CVE (58), l'exploitation pouvant entraîner une fuite de mémoire et l'exécution de code arbitraire.

La mise à jour d'Experience Manager corrige 18 bogues pouvant entraîner l'exécution de code arbitraire, l'élévation des privilèges et le contournement des fonctionnalités de sécurité.

Le correctif Substance 3D Stager corrige 16 vulnérabilités, encore une fois des vecteurs possibles d'exécution de code arbitraire et de problèmes de fuite de mémoire.

Les mises à jour pour Photoshop (un CVE) et Illustrator (cinq CVE) corrigent également les trous qui pourraient conduire à - vous l'avez deviné - l'exécution de code à distance.

Enfin, une mise à jour de Cold Fusion corrige trois bogues, dont une vulnérabilité d'exécution de code critique, et un correctif pour Creative Cloud corrige un bogue d'exécution de code critique.

SAP a publié 21 correctifs de sécurité nouveaux et mis à jour, dont deux bogues classés 9.9.

CVE-2023-25616 est une vulnérabilité d'injection de code dans la plateforme SAP Business Objects Business Intelligence qui pourrait permettre à un attaquant d'injecter du code arbitraire.

CVE-2023-23857 est un bogue de contrôle d'accès inapproprié dans SAP NetWeaver AS pour Java version 7.50.

Un autre correctif SAP corrige le CVE-2023-25617 classé 9.0. Bien que ce soit moins dangereux que les autres correctifs SAP ce mois-ci, "cela ne veut pas dire qu'il est moins critique", selon Thomas Fritsch, chercheur en sécurité SAP chez Onapsis.

"La note CSS inférieure est due au fait qu'un exploit réussi nécessite une interaction avec un autre utilisateur", a écrit Fritsch.

Le correctif corrige une vulnérabilité d'exécution de commande du système d'exploitation dans l'Adaptive Job Server Business Objects de SAP. S'il est exploité, il pourrait permettre l'exécution de commandes arbitraires du système d'exploitation sur le réseau.

Le bulletin de sécurité Android de Google a corrigé 60 failles ce mois-ci, dont deux bogues RCE critiques dans le composant système : CVE-2023-20951 et CVE-2023-20954.

"Le plus grave de ces problèmes est une vulnérabilité de sécurité critique dans le composant système qui pourrait conduire à l'exécution de code à distance sans qu'aucun privilège d'exécution supplémentaire ne soit nécessaire", a averti le bulletin infosec d'Android. "L'interaction de l'utilisateur n'est pas nécessaire pour l'exploitation."

Et enfin, Google a corrigé 40 failles dans son navigateur Web Chrome, dont la plus grave pouvait permettre l'exécution de code arbitraire dans le contexte de l'utilisateur.

Selon les privilèges associés à l'utilisateur, un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes avec des droits d'utilisateur complets », selon le Center for Internet Security. « Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d'utilisateur sur le système pourraient être moins touchés que ceux qui fonctionnent avec des droits d'utilisateur administratifs. » ®

Envoyez-nous des nouvelles