Nouvelles
Microsoft lance un ensemble de correctifs de sécurité pour le mois de juin
Microsoft a publié mardi un total de 129 correctifs de sécurité, dont 11 jugés «critiques» et 118 jugés «importants» en termes de gravité.
Les logiciels recevant des correctifs ce mois-ci incluent les navigateurs Microsoft, Windows Defender, HoloLens, Windows App Store, System Center, Microsoft Dynamics, Visual Studio et Azure DevOps – en plus des systèmes d'exploitation Microsoft Office et Windows, selon la description des «Notes de publication» de Microsoft . Cette version de correctif de juin est une autre version de Microsoft en termes de nombre de vulnérabilités et d'expositions courantes (CVE) traitées.
Cette tendance se poursuit cette année, selon le blog Zero Day Initiative de Dustin Childs de Trend Micro:
C'est le quatrième mois consécutif que Microsoft publie des correctifs pour plus de 110 CVE, et c'est le plus grand nombre de CVE jamais publié par Microsoft en un seul mois. Cela porte le nombre total de correctifs Microsoft publiés cette année à 616, soit 49 de moins que le nombre total de CVE qu'ils ont traités en 2017.
La bonne nouvelle est qu'aucune des vulnérabilités maintenant révélées dans les bulletins de sécurité de juin n'était connue pour être attaquée activement auparavant.
La plupart des vulnérabilités seront corrigées en appliquant les correctifs Windows et navigateur de juin, a noté Todd Schell, chef de produit senior pour la sécurité au sein de la société de solutions informatiques Ivanti.
"La bonne nouvelle est que 98 d'entre eux sont résolus en déployant les mises à jour du système d'exploitation et du navigateur", a noté Schell, par e-mail.
En plus de ses correctifs, Microsoft a publié mardi des avis de sécurité pour Flash dans Internet Explorer et la pile de services Windows. Les mises à jour de la pile de maintenance sont toujours classées comme critiques, même s'il ne s'agit que de mises à jour du service Windows Update, plutôt que de correctifs de sécurité pour les logiciels.
Alerte Windows SMB 3
Plus tôt ce mois-ci, la US Cybersecurity and Infrastructure Security Agency a émis une alerte indiquant que le code d'exploitation de preuve de concept est désormais publié pour une vulnérabilité 3.1.1 (SMV) Server Message Block (CVE-2020-0796) dans Windows plus récent. systèmes qui ont obtenu un correctif de Microsoft en mars. L'alerte a probablement été émise car les systèmes ne sont pas corrigés.
Certains chercheurs ont décrit cette vulnérabilité SMB 3 comme «vermifuge», rappelant la vulnérabilité antérieure SMB 1 exploitée par le malware WannaCry. Dans ce contexte, Schell a cité un rapport Rand 2017 (téléchargement PDF) décrivant les vulnérabilités et les correctifs. L'étude a révélé que «le temps moyen pour exploiter une vulnérabilité est de 22 jours», tandis que la «durée de vie moyenne» d'une vulnérabilité est de sept ans. Les statistiques suggèrent qu'il y a un décalage dans les correctifs qui peut laisser un long laps de temps pour que les exploits soient effectués.
Microsoft a publié cette semaine des informations détaillées sur la façon de configurer les connexions SMB de manière optimale pour garantir la sécurité du réseau. Le conseil comprend une approche stratégique à adopter, comme l'a souligné Ned Pyle, un responsable de programme principal de l'équipe d'ingénierie de Windows Server. Pyle a également été crédité en tant que leader des efforts SMB de Microsoft.
SMB 1 a même fait la liste des versions de patch de juin. C'est là une vulnérabilité importante CVE-2020-1301 qui pourrait permettre des attaques d'exécution de code à distance (RCE), bien qu'un exploit nécessiterait d'envoyer "un paquet spécialement conçu à un serveur SMBv1 ciblé". La vulnérabilité SMB 1 existe dans tous les systèmes Windows pris en charge. Microsoft n'a en fait pas éliminé SMB 1 des nouveaux systèmes Windows, même si ce protocole est considéré comme obsolète et non sécurisé.
"Si vous avez déjà désactivé SMBv1, vous n'avez pas à vous soucier de celui-ci", a noté Childs. "Si vous n'avez pas encore désactivé SMBv1, vous devriez vraiment le faire."
Childs a ajouté que Microsoft avait publié un correctif pour SMB 3 ce mois-ci, mais uniquement pour «la divulgation d'informations et les bogues de déni de service».
CVE critiques notables
Les chercheurs ont appelé certains des correctifs critiques du groupe de correctifs de juin.
Richard Tsang, ingénieur logiciel senior dans la société de solutions de sécurité Rapid7, a noté la prévalence des problèmes de navigateur dans le bundle de ce mois-ci.
"Cinq des 11 RCE critiques notés ce mois-ci (CVE-2020-1213, CVE-2020-1216, CVE-2020-1219, CVE-2020-1073, CVE-2020-1260) sont basés sur un navigateur et peuvent être fortement atténués via bonnes pratiques ", a indiqué Tsang par e-mail, bien qu'il ait ajouté qu'il était" toujours préférable de corriger ".
Microsoft corrige un problème dans la façon dont les systèmes Windows gèrent les fichiers CAB (.CAB), qui est décrit sommairement dans le bulletin CVE-2020-1300. Un fichier CAB malveillant déguisé en pilote d'impression pourrait être utilisé dans les attaques RCE. Childs a indiqué que "les utilisateurs sont souvent conditionnés à faire confiance aux pilotes d'imprimante lorsqu'ils en proposent un, il ne serait donc pas surprenant de voir cela exploité".
Microsoft corrige une autre vulnérabilité .LNK avec un correctif pour CVE-2020-1299, ce qui représente le troisième correctif de cette année, selon Childs. Il s'agit d'une vulnérabilité RCE qui pourrait permettre à un attaquant d'obtenir des droits d'utilisateur sur les systèmes Windows. L'attaque est réalisée en présentant "un fichier .LNK malveillant et un binaire malveillant associé" à un utilisateur, via un partage de fichiers distant ou un lecteur amovible, selon le bulletin de sécurité de Microsoft.
Les systèmes Windows reçoivent également des correctifs pour une vulnérabilité OLE (Object Linking and Embedding) (CVE-2020-1281), qui pourrait entraîner des attaques RCE. Une attaque pourrait être lancée en amenant les utilisateurs à ouvrir un "fichier spécialement conçu ou un programme", qui pourrait être sur une page Web ou dans une pièce jointe à un e-mail. La vulnérabilité existe dans tous les systèmes Windows pris en charge et plusieurs types de fichiers peuvent être utilisés dans ces types d'attaques, a noté Childs, elle devrait donc figurer en haut de la liste des correctifs.
Défis du travail à distance
Les sociétés de solutions de sécurité ont également profité de ce correctif mardi pour sonner leurs propres cloches concernant le passage au travail à distance, car ces systèmes doivent être corrigés.
Les organisations peuvent utiliser des solutions de gestion qui nécessitent un réseau privé virtuel (VPN) pour distribuer les mises à jour, bien qu'un VPN ne soit pas nécessaire avec certaines solutions, a noté Schell d'Ivanti. La prise en charge des utilisateurs à faible débit Internet est un autre défi du travail à distance pour les organisations, a-t-il noté.
"Les mises à jour mensuelles nécessitant des centaines de mégaoctets de correctifs (ou gigaoctets dans certains cas) deviennent également problématiques", a indiqué Schell. Ivanti effectue régulièrement des présentations Web sur les correctifs du mardi (inscrivez-vous ici).
Justin Knapp, responsable du marketing produit au sein de la société de solutions de gestion de la sécurité Automox, a noté que les applications sont de plus en plus ciblées avec le passage au travail à distance. Il a suggéré que les solutions de correctifs doivent être agiles pour prendre en charge les travailleurs à distance.
"Pour minimiser de manière proactive la surface d'attaque et réduire la charge de travail sur les opérations de sécurité, les entreprises doivent s'éloigner des solutions de terminaux obsolètes et adopter un délai moyen beaucoup plus court pour durcir, ce qui maintient leurs terminaux en avance sur la moyenne des 7 jours avant la militarisation des vulnérabilités", Knapp indiqué, par e-mail.
Automox organise également des discussions sur les patchs du mardi (inscrivez-vous ici).
Commentaires
Laisser un commentaire