Il semble que la correction d'un bogue d'exécution de code à distance (RCE) vermifuge dans la pile HTTP de Windows 10 et Windows Server est susceptible de figurer en tête des listes de tâches de la plupart des administrateurs système après avoir lu les mises à jour du Patch Tuesday de mai. La bonanza de bogues mensuelle a également trois autres éléments critiques parmi les 55 notes.
Bien que le RCE vermifuge (CVE-2021-311660) ne soit pas connu pour avoir été exploité dans la nature, Microsoft avertit que la complexité de l'attaque est faible et qu '«un attaquant peut s'attendre à un succès reproductible contre le composant vulnérable» sans avoir besoin d'authentification. ou interaction de l'utilisateur. Cela a donné à la vulnérabilité un score CVSS de 9,8 sur 10.
L'attaque du composant vulnérable ne peut être déclenchée que par un seul package personnalisé. Étant donné que le colis est traité par http.sys, qui s'exécute en son cœur, exécute le code malveillant avec les privilèges correspondants.
Des vers qui ont tourné
Un bogue de ver est un bogue qui peut être utilisé pour créer un ver réseau, un logiciel malveillant qui se réplique sur un réseau. Les vers de réseau envahissent un système vulnérable et l'utilisent ensuite pour lancer de nouvelles attaques sur d'autres systèmes vulnérables. Étant donné que chaque ordinateur infecté peut infecter de nombreux autres, les vers de réseau peuvent se répliquer de manière exponentielle et se propager à des vitesses alarmantes. (En fait, même si un ver n'a pas de charge utile nuisible, le volume d'activité qu'il génère peut être suffisant pour causer des problèmes importants en soi.)
Lorsque des systèmes vulnérables sont disponibles sur Internet, les vers de réseau peuvent se propager dans le monde entier en quelques minutes ou quelques heures. En 2003, le tristement célèbre ver SQL Slammer a infecté les 75000 de ses victimes mondiales accessibles sur Internet. dix minutes de l'attaque a commencé. Plus récemment, le ver ransomware WannaCry s'est répandu dans le monde entier (et dans et à travers de nombreux réseaux informatiques en cours de route), infectant des centaines de milliers de cibles en une matinée.
Bien que le vermifuge pose un risque important, il ne constitue pas en soi une garantie de succès criminel. Parfois, il est difficile de transformer une vulnérabilité en exploitation, ou les résultats sont trop peu fiables pour créer une attaque viable. Les lecteurs se souviendront peut-être de la fureur entourant la mise à jour de mai 2019 de mardi, qui comprenait une solution pour une vulnérabilité RDP envahie par les vers, connue sous le nom de CVE-2019-0708, plus tard appelée BlueKeep. Le ver RDP révolutionnaire et largement attendu ne s'est jamais concrétisé. Malgré l'apparition d'un code de validation de principe, il n'y a jamais eu d'attaques majeures. Peut-être que les criminels n'ont tout simplement pas trouvé le besoin d'un ver RDP qui attirerait sûrement beaucoup d'attention indésirable pendant qu'ils réussissaient, juste traire tant de mots de passe RDP faibles.
Les responsables des systèmes Windows doivent supposer que les criminels ont lu les mêmes informations qu'ils ont et s'interrogent sur les solutions pour tenter de les remodeler. Agissez alors: vous êtes dans une course, patchez dès que vous le pouvez.
Questions critiques
Les autres mises à jour critiques qui ont été rendues disponibles en mai incluent CVE-2021-26419, un bogue de script qui pourrait être déclenché par un utilisateur d'Internet Explorer (oui, le dinosaure parmi les utilisateurs d'Internet n'est toujours pas éteint) visite un site Web malveillant. Ou, peut-être plus probable, l'erreur peut être déclenchée par des documents Microsoft Office. Selon Microsoft, un attaquant pourrait également «insérer un contrôle ActiveX marqué« Safe for initialization »dans un programme ou un document Microsoft Office. Qui aurait pu deviner qu'en 2021, nous trouverions encore des moyens d'attaquer les gens des documents.
CVE-2021-28476 est une vulnérabilité RCE dans le composant Hyper-V d'un certain nombre de versions de Windows, avec un score CVSS de 9,9. L'erreur permet aux machines invitées d'interférer avec leurs hôtes, un non de sécurité stricte. Microsoft signale que le résultat le plus probable de cette intervention est un déni de service, mais l'erreur a le potentiel de déclencher «des effets secondaires spécifiques au périphérique qui pourraient compromettre la sécurité de l'hôte Hyper-V».
La dernière des quatre vulnérabilités critiques du filon de ce mois-ci est CVE-2021-31194, un OLE Automation RCE sur lequel la société n'a pas grand-chose à dire. Cela peut être tacite, mais cela nous dit que l'erreur a un CVSS de 8,8, et il est considéré comme critique, les deux signaux que vous devez quand même le patcher.
Dans l'ensemble, la mise à jour de ce mois de mardi est petite par rapport aux derniers mois, ce qui, nous l'espérons, sera un soulagement pour tous les administrateurs système concernés par les récentes vulnérabilités Exchange.
Faites une pause pendant que c'est (relativement) calme. Vous savez que cela ne dure pas.
