Juste au moment où les choses ne pourraient pas empirer, les appels continuent à arriver pour les administrateurs Windows.
À un moment où la pandémie de coronavirus met à rude épreuve les ressources et les nerfs des administrateurs, la prochaine avalanche de mises à jour de sécurité a atterri mardi au patch d'avril. Microsoft a fourni des correctifs pour 113 vulnérabilités, dont trois jours zéro avec différents niveaux de gravité sur les systèmes Windows pris en charge et non pris en charge. Le nombre total de vulnérabilités réparées ce mois-ci n'était que de deux avant la sortie épique de mars.
Sur les 113 bogues réparés le mardi du patch d'avril, 19 sont jugés critiques. Les produits Microsoft qui ont reçu des correctifs incluent Windows, les deux navigateurs Edge (basés sur HTML et Chromium), Internet Explorer, ChakraCore, Microsoft Office et Microsoft Office Services et Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics et Microsoft Apps pour Android et Systèmes Mac.
L'urgence accrue de patcher rapidement en raison de plusieurs jours zéro mettra à l'épreuve le courage des administrateurs, dont beaucoup ont travaillé sans relâche pour aider les utilisateurs à travailler à distance avec peu de temps pour se préparer.
«C'est une belle recette pour un désastre», a déclaré Chris Goettl, directeur de la gestion des produits et de la sécurité chez Ivanti, un fournisseur de gestion de la sécurité et de l'informatique basé dans le sud de la Jordanie, dans l'Utah.
Il a noté que tous les jours zéro affectent les systèmes d'exploitation Windows 7 et Server 2008/2008 R2, qui ont tous atteint la fin de vie en janvier, mais ont des correctifs disponibles pour les clients qui peuvent se permettre de s'abonner au programme Extended Security Updates. Goettl a déclaré qu'il avait remarqué un modèle avec cette récolte de mises à jour Microsoft.
"Il ressemble au [zero-day] des exploits se produisent, dans la plupart de ces cas, sur les anciennes plates-formes. Il est donc très probable que ceux-ci ciblent les plates-formes Windows 7 et Server 2008, en particulier en essayant de profiter de l'incapacité des gens à appliquer des correctifs », a-t-il déclaré.
Sommaire
Trois jours zéro affectent les systèmes Windows
Deux bogues (CVE-2020-0938 et CVE-2020-1020) dans la bibliothèque Adobe Font Manager affectent tous les systèmes d'exploitation Windows pris en charge côté client et côté serveur, laissant les systèmes non corrigés vulnérables aux attaques d'exécution de code à distance. Un utilisateur peut déclencher l'exploit de plusieurs manières, notamment en ouvrant un fichier malveillant ou en examinant un document via le volet de prévisualisation de l'Explorateur de fichiers.
Les systèmes Windows 10 ont des protections intégrées qui limiteraient l'attaquant au bac à sable AppContainer où il ne pourrait pas faire beaucoup de dégâts, a noté Goettl.
L'autre jour zéro (CVE-2020-1027) est une vulnérabilité d'élévation de privilèges dans le noyau Windows jugée importante qui affecte toutes les versions de Windows prises en charge. Pour tirer parti de la faille, l'attaquant aurait besoin d'informations d'identification locales pour exécuter un fichier malveillant. Le correctif modifie la façon dont le noyau Windows gère les objets en mémoire.
Autres correctifs remarquables du mardi du patch d'avril
Initialement signalé par Microsoft comme un autre jour zéro mais révisé peu de temps après, CVE-2020-0968 décrit une faille d'exécution de code à distance dans le moteur de script d'Internet Explorer. Le bogue est considéré comme critique pour les systèmes clients Windows et modéré pour les systèmes d'exploitation Windows Server en raison des protections intégrées.
L'attaquant peut cibler un utilisateur de différentes manières – via un site Web avec des publicités ou du contenu fournis par l'utilisateur ou via un document spécialement conçu avec le moteur de script IE et utilisant ActiveX pour exécuter du code malveillant – mais les dommages sont limités au privilège niveau de l'utilisateur du système non corrigé.
"Celui-ci peut être atténué si l'utilisateur n'a pas les droits d'administrateur complets", a déclaré Goettl. "Dans ces cas, [the attacker] obtiendraient le contrôle total de la boîte, mais ils devraient alors exploiter autre chose pour obtenir un accès administratif complet. "
Les boutiques Hyper-V voudront corriger une faille de code à distance (CVE-2020-0910) jugée critique pour les systèmes Windows 10 et Windows Server 2019. Ce bogue permet à un attaquant disposant d'informations d'identification sur un système d'exploitation invité d'exécuter du code sur l'hôte Hyper-V.
CVE-2020-0935 est une vulnérabilité révélée publiquement dans l'application OneDrive pour Windows et jugée importante qui pourrait permettre à un attaquant d'exécuter une application malveillante pour prendre le contrôle du système ciblé. OneDrive dispose de son propre système de mise à jour, de sorte que les clients disposant de machines connectées à Internet devraient avoir le correctif, mais les travailleurs informatiques devront effectuer des mises à jour manuelles sur les systèmes qui ont été laissés pour compte.
Rapport: des centaines de milliers de systèmes Exchange restent vulnérables
Exchange Server est une plate-forme de messagerie notoirement complexe à gérer. C'est l'un des outils de communication les plus importants pour à peu près toutes les entreprises, ce qui signifie que les temps d'arrêt ne sont pas une option. Lorsque vous combinez ces facteurs, il n'est pas surprenant que de nombreux systèmes Exchange Server ne reçoivent pas l'attention de correction qu'ils méritent.
Entreprise de services de cybersécurité Rapid7 a mis en évidence ce problème avec un rapport récent qui montre que plus de 350 000 systèmes Exchange Server étaient toujours sensibles à une faille que Microsoft a corrigée en février.
CVE-2020-0688 est une vulnérabilité d'exécution de code à distance qui nécessite uniquement qu'un attaquant ait les informations d'identification d'un compte d'utilisateur Exchange – pas même un administrateur – pour dépasser le système Exchange Server et éventuellement Active Directory.
Rapid7 a affirmé que ses chercheurs avaient découvert des nouvelles encore plus troublantes.
«Il y a plus de 31 000 serveurs Exchange 2010 qui n'ont pas été mis à jour depuis 2012. Il y a près de 800 serveurs Exchange 2010 qui n'ont jamais été mis à jour», a écrit Tom Sellers de Rapid7 dans le blog.
De nombreux informaticiens utilisent un déploiement échelonné pour déployer les mises à jour Microsoft par étapes afin de limiter les problèmes liés à une mise à jour défectueuse. De nombreuses organisations peuvent épargner plusieurs systèmes client et serveur Windows pour les tests, mais il est rare de voir un environnement de non-production similaire pour un système Exchange Server.
"Les mises à jour Exchange sont complexes et prennent beaucoup de temps", a déclaré Goettl. «Et en raison de la façon dont certaines entreprises ont personnalisé leurs services de messagerie, Exchange peut être très sensible [to updates] ainsi que. Vous ne pouvez pas dupliquer votre environnement Exchange très facilement. "
Microsoft propose une aide VPN à la suite d'une pandémie
Avec plus d'utilisateurs distants connectés au VPN en raison de la pandémie de coronavirus, le déploiement des mises à jour du Patch Tuesday de ce mois-ci pourrait ralentir l'accès sur le réseau à d'autres ressources pour les utilisateurs finaux.
La plupart des organisations ont été prises au dépourvu par la montée soudaine d'utilisateurs distants. Avec suffisamment de temps et d'argent, l'informatique pourrait réduire la congestion potentielle en façonnant le trafic ou en améliorant l'infrastructure pour augmenter la vitesse du réseau. D'autres organisations peuvent éviter les problèmes de bande passante limitée sur VPN en utilisant une offre de correctifs tiers ou Microsoft Intune pour acheminer les mises à jour de sécurité directement de Microsoft vers la machine de l'utilisateur final. Mais certaines organisations qui utilisent Microsoft Endpoint Configuration Manager – anciennement System Center Configuration Manager – ne disposent pas de cette fonctionnalité, ce qui limite leurs options.
L'ingénieur Microsoft Stefan Röll a écrit un blog pour aider ces clients avec un tutoriel pour configurer une configuration de tunnel partagé VPN. Ce type de disposition permet d'éviter la surcharge du réseau.
"Gérer votre [d](en particulier les mises à jour de sécurité et les installations de logiciels) est nécessaire et deviendra difficile car la majorité de votre main-d'œuvre sera connectée au réseau d'entreprise via VPN. Selon le nombre de clients, même quelques mises à jour de sécurité de 100 Mo ajouteront rapidement à plusieurs [gigabytes] ou [terabytes] cette [need] être poussé sur votre réseau VPN. Sans autre considération, vous pouvez rapidement surcharger votre connexion VPN, ce qui entraîne une dégradation des performances d'autres applications ou une panne complète », a écrit Röll.
Commentaires
Laisser un commentaire