Nouvelles
Les correctifs de sécurité d'août de Microsoft corrigent de nouvelles vulnérabilités RDP
Microsoft a publié mardi des mises à jour de sécurité pour le mois d'août, qui traitaient d'environ 93 vulnérabilités et expositions communes (CVE).
L'ensemble de correctifs de ce mois-ci est en fait considéré comme une "charge légère", selon Chris Goettl, directeur de la gestion des produits pour la sécurité chez Ivanti. De plus, la publication est quelque peu remarquable pour n'avoir aucune solution pour les exploits zero-day de ce mois.
"Microsoft a résolu un total de 93 CVE uniques ce mois-ci, mais étonnamment, il n'y a AUCUN zéro vulnérabilité OU révélée publiquement!" Goettl a déclaré dans un e-mail. "Cela fait longtemps que je ne me souviens pas de ce qui s'est passé."
Ivanti prévoit d'organiser une session de discussion en ligne mardi sur les mises à jour de sécurité de ce mois-ci le mercredi 14 août, qui nécessite une inscription pour pouvoir y assister. La source ultime de Microsoft pour les correcteurs est son "Guide de mise à jour de sécurité", qui comprend ce mois-ci 118 pages époustouflantes.
Les analystes en sécurité diffèrent parfois par leur nombre de correctifs. Les chercheurs en sécurité de Cisco chez Talos ont recensé 97 vulnérabilités logicielles Microsoft ce mois-ci, dont 31 notées «critiques», 65 jugées «importantes» et une étiquetée «modérée».
Correctifs associés aux PDR
Il existe un thème familier dans les mises à jour de sécurité d'août, à savoir les trous associés au protocole RDP (Remote Desktop Protocol). Ce mois-ci, Microsoft a averti que des attaques "BlueKeep" (CVE-2019-0708) étaient désormais disponibles pour les attaquants, mais il a également détecté quelques nouveaux problèmes liés au RDP.
Par exemple, deux correctifs évalués "Critical" ce mois-ci, pour CVE-2019-1181 et CVE-2019-1182, sont des correctifs pour des exploits potentiellement "vermables" associés à RDP, similaires à la situation BlueKeep. Si elles n'étaient pas corrigées, ces deux vulnérabilités pourraient être exploitées et se propager "d'un ordinateur vulnérable à un ordinateur vulnérable sans interaction de l'utilisateur", a averti Simon Pope, directeur de la réponse aux incidents du Microsoft Security Response Center, dans une annonce publiée mardi.
Contrairement à l'exploit BlueKeep, les vulnérabilités CVE-2019-1181 et CVE-2019-1182 ne s'appliquent pas à Windows XP, Windows Server 2003 et Windows 2008. Toutefois, les nouveaux produits Windows sont concernés.
"Les versions concernées de Windows sont Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 et toutes les versions prises en charge de Windows 10, y compris les versions de serveur", a indiqué Pope.
Pope a expliqué que les systèmes Windows affectés devraient être corrigés rapidement "en raison des risques élevés associés aux vulnérabilités vermables". Les organisations utilisant l'authentification au niveau du réseau, qui nécessite des authentifications d'utilisateur, offrent une "atténuation partielle sur les systèmes affectés", a-t-il ajouté.
Dustin Childs du projet Zero Day de Trend Micro a comptabilisé un total de quatre correctifs critiques associés à RDP ce mois-ci. Il a ajouté CVE-2019-1222 et CVE-2019-1226 au mélange décrit par Microsoft. Toutes ces vulnérabilités partagent le même scénario d’attaque dans lequel "un attaquant peut obtenir l’exécution de code au niveau système en envoyant un paquet RDP de pré-authentification spécialement conçu à un serveur RDS affecté", a déclaré Childs. "Si vous devez disposer d'un serveur RDP Internet, corrigez-le immédiatement (et repensez l'emplacement de votre serveur)", a-t-il conseillé.
Autres vulnérabilités notables
Childs a noté quelques autres vulnérabilités critiques ce mois-ci. Il existe un problème d'exécution de code à distance du client DHCP Windows (CVE-2019-0736), qui est également potentiellement vermifuge. Une vulnérabilité d'exécution de code à distance .LNK (CVE-2019-1188) nécessite que les utilisateurs cliquent sur un fichier avec l'extension .LNK. Microsoft Word comporte une vulnérabilité d'exécution de code à distance (CVE-2019-1201) qui peut être déclenchée via le volet de visualisation Outlook, elle devrait donc figurer en haut de la liste des correctifs, a-t-il expliqué.
Microsoft a également publié un correctif important pour une vulnérabilité de périphérique Bluetooth Classic (CVE-2019-9506) qui permet aux attaquants de réduire la longueur de la clé à 1 octet. C’est une faille relevée par le centre de coordination CERT, avec un score élevé de 9,3 selon le système de notation commun de la vulnérabilité, même si un attaquant aurait besoin de "matériel spécialisé" et devrait se trouver à portée d’un périphérique Bluetooth.
Adobe a également publié ses correctifs d’août, adressant 119 CVE, a noté Childs.
Les avis
Microsoft a également émis deux avis ce mois-ci.
Dans ADV190023, Microsoft a mis en garde sur les configurations par défaut non sécurisées dans le Lightweight Directory Access Protocol, utilisé pour interroger et mettre à jour le service Active Directory. Microsoft recommande "d'activer la liaison de canal LDAP et la signature LDAP sur les contrôleurs de domaine Active Directory" afin de réduire les risques d'exploits potentiels d'élévation des privilèges.
Dans ADV190014, Microsoft a expliqué que son programme de messagerie Outlook, basé sur un navigateur, pourrait être exploité via un jeton non signé pour les utilisateurs de comptes Microsoft Live. Toutefois, Microsoft a déjà résolu ce problème pour ces utilisateurs finaux.
Commentaires
Laisser un commentaire