Les vulnérabilités de Microsoft ont de graves implications pour les organisations de toutes tailles – Bien choisir son serveur d impression

Les produits logiciels Microsoft sont un tissu conjonctif de nombreuses organisations, des documents en ligne (création, partage, stockage), aux e-mails et calendriers, aux systèmes d'exploitation qui permettent les opérations commerciales sur le front et le back-end, à la fois dans le cloud et sur site.

Plus d'un million d'entreprises dans le monde et plus de 731 000 entreprises aux États-Unis utilisent Office 365, et bien que Microsoft ne propose pas de statistiques précises, certaines sources suggèrent qu'il existe plus de 90 000 partenaires Microsoft facilitant les services et les produits pour les clients. Il n'est donc pas étonnant que les vulnérabilités des solutions Microsoft soient un vecteur d'attaque attrayant.

Jusqu'à présent en 2021, les 12 vulnérabilités critiques de Microsoft les plus notables appartiennent à cinq catégories de menaces majeures :

• Vulnérabilités d'échange
• Vulnérabilités du spouleur d'impression
• Vulnérabilités sensibles des fichiers de base de données du registre Windows
• le cryptage des vulnérabilités du protocole à distance du système de fichiers (MS-EFSRPC) et des services de certificats Active Directory (AD CS), et
• Vulnérabilités ActiveX.

Décomposons-les.

Vulnérabilités d'échange

Microsoft Exchange comprend le back-end de la messagerie intégrée, de l'agenda, des tâches et de la messagerie électronique. Exchange Server est l'une des solutions de messagerie les plus utilisées et les plus connues pour les gouvernements et les entreprises du monde entier. La gestion d'Exchange Server en interne est une tâche complexe, et les serveurs Exchange mal configurés sont particulièrement troublants car les acteurs malveillants analysent et exploitent activement les serveurs Exchange vulnérables qui ne sont pas configurés correctement ou qui disposent des correctifs de sécurité et des mises à jour les plus récents.

Les vulnérabilités récentes de Microsoft Exchange Server incluent ProxyLogon, ProxyOracle et ProxyShell.

ProxyLogon (CVE-2021-26855 et CVE-2021-27065) cible les serveurs Exchange sur site. Ce bogue exploite l'architecture proxy d'Exchange et son mécanisme d'ouverture de session, permettant à l'acteur malveillant de contourner l'authentification sur le serveur Exchange, de se faire passer pour un administrateur et d'acquérir des capacités d'exécution de code.

ProxyOracle (CVE-2021-31196 et CVE-2021-31195) est un peu plus délicat que ProxyLogon dans la mesure où les acteurs de la menace doivent inciter les utilisateurs à cliquer sur un lien malveillant pour voler le mot de passe de l'utilisateur. L'authentification basée sur un formulaire utilisée pour gérer les connexions des utilisateurs pour Outlook Web Access enregistre les informations d'identification et les mots de passe dans les cookies du navigateur d'un utilisateur, qui sont cryptés. Pour contourner ces mesures, les acteurs malveillants utilisent une attaque d'oracle de remplissage pour aider à déchiffrer les cookies de l'utilisateur et obtenir les mots de passe en clair.

ProxyShell (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207) est une autre vulnérabilité Exchange Server sur site sur des serveurs non corrigés avec accès Internet. ProxyShell fonctionne en abusant de la normalisation de l'URL du service d'accès client déclenchée par les demandes d'ouverture de session. Lorsque les demandes d'ouverture de session sont lancées, Exchange normalise l'URL de la demande et supprime la partie contenant l'adresse électronique avant de router la demande d'ouverture de session vers le backend. Avec ProxyShell, les acteurs malveillants peuvent supprimer une partie de l'URL pendant le processus de normalisation, accorder l'accès à une URL backend arbitraire et exécuter des commandes sur le serveur Exchange en utilisant un port 443 exposé avec Exchange PowerShell Remoting. En termes simples, cela permet aux acteurs de la menace d'agir en tant qu'administrateur Exchange et d'exécuter des commandes PowerShell à distance.

Vulnérabilités du spouleur d'impression

Les imprimantes en général et Print Spooler en particulier sont la cible d'une exploitation par des acteurs malveillants depuis de nombreuses années. Par exemple, le tristement célèbre ver Stuxnet de 2010 – celui utilisé contre les installations nucléaires iraniennes – utilisait une vulnérabilité Print Spooler.

ImprimerCauchemar (CVE-2021-34527) est une vulnérabilité qui permet aux attaquants disposant d'un compte d'utilisateur de domaine à faible privilège de prendre le contrôle d'un serveur exécuté sur le service Print Spooler et d'ajouter des fichiers de bibliothèque de liens dynamiques (DLL) en tant que pilotes d'imprimante, qu'ils exécutent ensuite via SYSTEM. Une fois que l'acteur de la menace exploite cette vulnérabilité, il peut installer des programmes, manipuler des données et créer de nouveaux utilisateurs avec des autorisations complètes.

Vulnérabilités sensibles des fichiers de base de données du registre Windows

Le registre Windows stocke des informations sur les configurations, les paramètres et les préférences du système d'exploitation et des applications Windows. Il contient un ensemble de fichiers appelés ruches, tels que les ruches SYSTEM et SECURITY, et la base de données Windows Security Accounts Manager (SAM). Un acteur malveillant qui abuse de la vulnérabilité des fichiers sensibles de la base de données du registre Windows et s'authentifie avec succès sur une machine peut exécuter du code arbitraire avec des privilèges SYSTEM.

HiveNightmare alias SeriousSAM (CVE-2021-36934) est l'une de ces vulnérabilités. À l'aide d'un compte à faible privilège, un acteur malveillant peut utiliser la méthode de hachage pour authentifier un serveur distant avec les informations d'identification hachées qu'il a obtenues de la base de données. (Vous avez bien lu – les configurations par défaut de Windows 10 et 11 accordent à tous les utilisateurs non-administrateurs des droits de lecture sur les ruches de registre clés ; c'est une erreur connue.) Cela leur permet de récupérer toutes les ruches de registre dans Windows 10 et 11. Cela inclut les données SAM, que l'attaquant peut utiliser pour exécuter du code en tant que SYSTEM. Une fois sa machine authentifiée, l'attaquant obtient le contrôle total, peut exécuter des commandes, supprimer des charges utiles supplémentaires, se propager sur le réseau et créer des utilisateurs avec des autorisations complètes.

Vulnérabilités MS-EFSRPC et AD CS

Microsoft Encrypting File System Remote Protocol (MS-EFSRPC) prend en charge vos données qui sont cryptées, stockées à distance et accessibles via un réseau. Il effectue les opérations de maintenance et de gestion. Les services de certificats Active Directory (AD CS) sont un rôle de serveur qui permet aux utilisateurs de créer une infrastructure à clé publique (PKI) et fournit une cryptographie à clé publique, des certificats numériques et des capacités de signature et d'autres fonctions de sécurité.

Petit Potam (CVE-2021-36942) est un exemple d'attaque par relais du gestionnaire de réseau local (NTLM) de nouvelle technologie. PetitPotam est un type d'attaque par relais dans lequel les acteurs de la menace qui ont déjà accédé à la machine de la victime ont la possibilité de prendre le contrôle d'un Active Directory avec AC DS en cours d'utilisation. Dans ce type d'attaque, plutôt que de profiter d'une vulnérabilité spécifique, les acteurs malveillants exploitent la méthode d'authentification dans le MS-EFSRPC pour produire un certificat d'authentification, ce qui entraîne une compromission du domaine et la possibilité d'élever les privilèges au sein du domaine.

Vulnérabilités ActiveX

Les contrôles ActiveX sont des parties de programme utilisées pour créer et exécuter des applications qui fonctionnent sur un réseau. Les applications s'appuient sur ActiveX pour partager des fonctionnalités et des données sur les navigateurs Web, de sorte que cette vulnérabilité peut être exploitée via des documents Microsoft Office en ligne.

MSHTML (CVE-2021-40444) est une vulnérabilité d'exécution de code à distance hautement sophistiquée qui permet à un attaquant d'exécuter du code arbitraire sur la machine d'une victime via un contrôle ActiveX qui est généralement envoyé à la victime par phishing. L'acteur de la menace attire l'utilisateur pour qu'il ouvre le document malveillant, et une fois le fichier ouvert et le code exécuté, l'acteur de la menace effectue des activités malveillantes telles que l'exécution de commandes à distance, la suppression de charges utiles supplémentaires et la persistance.

Vous vous sentez vulnérable ?

Selon le rapport d'IBM sur le coût d'une violation de données 2021, le coût moyen d'une violation de données a augmenté de la plus grande marge d'une année sur l'autre en sept ans, passant de 3,86 millions de dollars en 2020 à 4,24 millions de dollars en 2021. Le temps moyen s'est écoulé avant une violation a été détecté en 2021 était de 212 jours avec 75 jours supplémentaires pour le contenir !

Les types d'attaques que nous avons explorés dans cet article conduisent à des domaines compromis et à la possibilité pour les criminels de créer leurs propres comptes avec des informations d'identification d'administrateur complètes. Et selon le rapport, les informations d'identification compromises étaient le vecteur d'attaque le plus courant, responsables de 20 % des violations et coûtant en moyenne 4,37 millions de dollars par violation.

Chacune de ces vulnérabilités Microsoft a de graves implications pour les organisations de toutes tailles. Par exemple, PrintNightmare est essentiel car le service Print Spooler s'exécute par défaut sur tous les serveurs et clients Windows. Il est alarmant que cette itération ait évolué à partir d'une vulnérabilité antérieure qui a été corrigée mais modifiée pour réduire le correctif à seulement la moitié de son efficacité. Et HiveNightmare (alias SeriousSAM) fonctionne à cause d'une vulnérabilité dans le système d'exploitation Windows d'une entreprise. Il ne nécessite pas non plus d'informations d'identification non cryptées. Ces types d'attaques justifient la nécessité de maintenir tous les systèmes à jour en plus de se tenir au courant des vulnérabilités de Microsoft.

Les responsables de la cybersécurité doivent s'assurer qu'ils déploient des règles de détection conçues pour détecter et empêcher les tentatives d'exploitation de ces vulnérabilités et créer des règles de détection supplémentaires pour se concentrer davantage sur le risque. Diffusez tous les correctifs disponibles pour les produits Microsoft et surveillez non seulement les vulnérabilités nouvellement découvertes, mais également les évolutions des vulnérabilités connues.