Nouvelles
Les mises à jour de sécurité de janvier de Microsoft sont fournies avec l'aide de la NSA
Mardi, Microsoft a publié ses mises à jour de sécurité pour janvier, avec une aide partielle de la U.S.National Security Agency (NSA).
Tout compte fait, Microsoft fournit des correctifs ce mois-ci pour 49 vulnérabilités et exploits communs (CVE) à travers ses produits. Les logiciels concernés, selon les notes de publication, incluent Windows, Internet Explorer, Microsoft Office, .NET, OneDrive pour Android et Microsoft Dynamics. Huit des correctifs sont jugés «critiques», tandis que 41 sont classés «importants». Ces vulnérabilités n'ont pas été rendues publiques au préalable et aucun exploit n'est connu, a indiqué Microsoft.
Aucun avis de sécurité n'a été publié ce mois-ci.
CryptoAPI Spoof
Le voleur d'exposition de ce mois-ci, cependant, est un correctif important pour une vulnérabilité d'usurpation de Windows CryptoAPI (CVE-2020-0601). La vulnérabilité est présente dans les systèmes Windows 10, Windows Server 2016 et Windows Server 2019 et a été portée à l'attention de Microsoft par la NSA. L'écrivain en sécurité Brian Krebs a indiqué lundi que le correctif de Microsoft avait été livré à l'avance aux organisations militaires américaines, probablement parce qu'il rompt la fonctionnalité de confiance des certificats signés numériquement.
Mise à jour 1/17: Le SANS Institute a publié une analyse Internet Storm Center de CVE-2020-0601. Il comprend un lien pour tester si les utilisateurs sont soumis à l'usurpation de certificat lors de l'utilisation des navigateurs Internet Explorer ou Microsoft Edge. Les navigateurs de Mozilla Firefox n'utilisent pas Crypt32.dll, ils ne sont donc pas soumis à la vulnérabilité. Les navigateurs Google Chrome peuvent être vulnérables, mais Google a récemment résolu le problème avec une mise à jour du navigateur, ont indiqué les chercheurs.
Selon le bulletin de sécurité Microsoft CVE-2020-0601, "un attaquant pourrait exploiter la vulnérabilité en utilisant un certificat de signature de code usurpé pour signer un exécutable malveillant, faisant croire que le fichier provenait d'une source fiable et légitime".
Pour cette raison et plus encore, de nombreux chercheurs en sécurité placent CVE-2020-0601 en tête de la liste des priorités de correction, même s'il vient d'être classé Important par Microsoft. Le correctif ajoutera notamment une entrée dans les journaux d'événements Windows si un exploit est tenté.
"Cette [log addition] est important et aidera les administrateurs à déterminer s'ils ont été ciblés ", a écrit Dustin Childs dans un article de Trend Micro Zero Day Initiative.
Les organisations ne devraient pas tarder à corriger la vulnérabilité CVE-2020-0601, selon Tim Mackey, principal stratège en sécurité chez Synopsys, un fournisseur de solutions de conception de semi-conducteurs, dans un commentaire envoyé par courrier électronique:
Le composant sous-jacent, crypt32.dll est utilisé pour toutes les signatures numériques sur les ordinateurs Windows – serveurs et bureaux. C'est le composant qui permet de vérifier les connexions SSL, si les packages logiciels sont légitimes et si un certificat numérique soumis pour l'authentification par courrier électronique est valide, parmi de nombreux autres éléments de sécurité. L'exploitation de cette vulnérabilité permettra à un attaquant de contourner la confiance de toutes les connexions réseau sur les systèmes Windows 10 et Windows Server 2016/2019, ou ceux qui les référencent
Le chercheur en sécurité Kevin Beaumont a offert des conseils «ne paniquez pas» sur CVE-2020-0601. Il a noté dans une publication Twitter du 13 janvier que peu d'organisations «utilisent généralement les signatures numériques comme contrôle clé des limites de sécurité».
"Patchez vos boîtiers Citrix, Fortigate, Pulse Secure SSL VPN et votre vuln SharePoint SharePoint de 11 mois", a ajouté Beaumont, concernant les priorités des correctifs informatiques. "Et éteignez SMB1."
Une vulnérabilité critique d'exécution de code à distance (CVE-2019-19781) dans Citrix Application Delivery Controller (anciennement connu sous le nom de "NetScaler ADC"), ainsi que Citrix Gateway (anciennement "NetScaler Gateway"), est mise en évidence par les chercheurs en sécurité comme étant "l'un des bugs les plus dangereux révélés ces dernières années", selon Trend Micro. Citrix a publié un avis à ce sujet en décembre, mais il n'y a pas de correctif, et Citrix en a peut-être trop révélé, selon un article de David Kennedy du cabinet de conseil en sécurité TrustedSec.
«TrustedSec peut confirmer que nous avons un exploit d'exécution de code à distance entièrement fonctionnel qui est capable d'attaquer directement n'importe quel serveur Citrix ADC d'une manière non authentifiée», a écrit Kennedy.
Au mieux, les organisations peuvent suivre les étapes d'atténuation de Citrix.
CISA a publié un utilitaire pour vérifier si les solutions Citrix sont sujettes à la vulnérabilité.
Autres correctifs critiques
De plus, la U.S.Cybersecurity and Infrastructure Security Agency (CISA) a mis en lumière trois vulnérabilités critiques du protocole Windows Remote Desktop Protocol (RDP) ce mois-ci. Les vulnérabilités, CVE-2020-0609, CVE-2020-0610 et CVE-2020-0611 affectent le client Windows Remote Desktop et le serveur de passerelle RDP pour d'éventuelles attaques d'exécution de code à distance. Les attaquants n'ont pas besoin d'être authentifiés sur un réseau pour effectuer des attaques. Ils ont juste besoin de diriger un utilisateur vers un "serveur malveillant", a expliqué l'annonce de la CISA.
"La CISA recommande vivement aux organisations d'installer ces correctifs critiques dès que possible – priorisez les correctifs en commençant par les systèmes critiques, les systèmes accessibles sur Internet et les serveurs en réseau", a indiqué la CISA. "Les organisations doivent ensuite prioriser la correction des autres actifs de technologie de l'information / technologie opérationnelle (IT / OT) concernés."
D'autres vulnérabilités critiques notables affectent .NET et ASP.NET dans les systèmes Windows. CVE-2020-0603, CVE-2020-0605, CVE-2020-0606 et CVE-2020-0646 résolvent tous les problèmes de gestion de la mémoire qui peuvent conduire à des attaques d'exécution de code à distance si un utilisateur ouvre un "fichier spécialement conçu", selon Jon Munshaw dans un poste Cisco Talos.
Il existe également une vulnérabilité de corruption de mémoire dans le navigateur Internet Explorer qui pourrait être utilisée pour exécuter du code via des pages Web, qui est corrigée par le correctif critique pour CVE-2020-0640, a noté Munshaw.
Fin du support Windows
Cependant, la plus grande nouvelle pour les professionnels de l'informatique est la fin de la prise en charge de Windows 7 et Windows Server 2008 / R2 mardi, comme l'a noté Todd Schell, chef de produit senior pour la sécurité chez Ivanti, dans un commentaire de patch envoyé par e-mail. Les organisations qui continuent à exécuter ces systèmes d'exploitation devraient utiliser le programme de mises à jour de sécurité étendues de Microsoft pour continuer à recevoir des mises à jour de sécurité, a-t-il suggéré. Cela nécessite probablement l'installation des dernières mises à jour de la pile de maintenance, a-t-il ajouté.
Schell a également conseillé aux services informatiques de s'assurer que les systèmes Windows sont mis à jour pour utiliser la signature de code SHA2.
Schell a proposé la liste de contrôle suivante des options d'atténuation pour les organisations qui continuent d'exécuter Windows 7 ou Windows Server 2008 / R2 mais n'utilisent pas les mises à jour de sécurité étendues:
- Obtenez des systèmes jusqu'au niveau des correctifs de janvier 2020.
- Virtualisez les charges de travail et réduisez l'accès à ces systèmes au personnel essentiel uniquement.
- Supprimez l'accès Internet direct de ces systèmes.
- Séparez ces systèmes en un segment de réseau distinct des autres systèmes.
- Ajoutez des contrôles de sécurité supplémentaires sur ces systèmes. Stratégies de contrôle des applications verrouillées pour éviter d'exécuter autre chose que les applications critiques qui dépendent du système d'exploitation hérité, etc.
Ces approches ne sont probablement pas idéales, bien sûr.
Plus de commentaires Ivanti peuvent être trouvés dans ses webinaires Patch Tuesday, avec le prochain prévu pour le 15 janvier.
Commentaires
Laisser un commentaire