Microsoft Patch Tuesday, December 2021 Edition – Krebs on Security – Serveur d’impression
[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]
Microsoft, Adobe, et Google tous ont publié aujourd'hui des mises à jour de sécurité pour leurs produits. Les correctifs Microsoft incluent six failles de sécurité précédemment divulguées et une qui est déjà activement exploitée. Mais le Patch Tuesday de ce mois-ci est éclipsé par le "Log4Shell” 0-day exploit dans un populaire Java bibliothèque que les administrateurs de serveurs Web s'efforcent maintenant de trouver et de corriger dans un contexte d'exploitation généralisée de la faille.
Log4Shell est le nom choisi pour une faille critique divulguée le 9 décembre dans la bibliothèque de journalisation populaire pour Java appelée "log4j”, qui est inclus dans un grand nombre d'applications Java. Un code d'exploitation diffusé publiquement permet à un attaquant de forcer un serveur exécutant une bibliothèque log4j vulnérable à exécuter des commandes, telles que le téléchargement de logiciels malveillants ou l'ouverture d'une connexion de porte dérobée au serveur.
Selon des chercheurs de Lunasec, de nombreux services sont vulnérables à cet exploit.
"Les services cloud comme Steam, Apple iCloud et des applications comme Minecraft se sont déjà révélés vulnérables", a écrit Lunasec. « Quiconque utilise Apache Struts est probablement vulnérable. Nous avons déjà vu des vulnérabilités similaires exploitées dans des violations comme la violation de données Equifax en 2017. Une liste complète des réponses des organisations concernées a été compilée ici.
"Si vous exécutez un serveur construit sur un logiciel open source, il y a de fortes chances que vous soyez affecté par cette vulnérabilité", a déclaré Dustin Childs de l'initiative Zero Day de Trend Micro. « Vérifiez auprès de tous les fournisseurs de votre entreprise pour voir s'ils sont concernés et quels correctifs sont disponibles. »
Une partie de la difficulté à appliquer des correctifs contre l'attaque Log4Shell réside dans l'identification de toutes les applications Web vulnérables, a déclaré Johannes Ullrich, un gestionnaire d'incidents et blogueur pour le Centre de tempête Internet SANS. « Log4Shell continuera de nous hanter pour les années à venir. Traiter avec log4shell sera un marathon », a déclaré Ullrich. "Traitez-le comme tel." SANS a un bon aperçu de la simplicité mais de la puissance de l'exploit.
John Hultquist, vice-président de l'analyse du renseignement à Mandant, a déclaré que la société a vu des acteurs étatiques chinois et iraniens tirer parti de la vulnérabilité log4j, et que les acteurs iraniens sont particulièrement agressifs, ayant participé à des opérations de ransomware qui peuvent être principalement menées à des fins perturbatrices plutôt que pour un gain financier.
"Nous prévoyons que d'autres acteurs étatiques font de même, ou se préparent à le faire", a déclaré Hultquist. «Nous pensons que ces acteurs travailleront rapidement pour créer des points d'ancrage dans des réseaux souhaitables pour une activité de suivi, qui peut durer un certain temps. Dans certains cas, ils travailleront à partir d'une liste de cibles souhaitées qui existaient bien avant que cette vulnérabilité ne soit de notoriété publique. Dans d'autres cas, des cibles souhaitables peuvent être sélectionnées après un ciblage large.
Chercheur Kévin Beaumont avait une vision plus légère de Log4Shell via Twitter:
« Fondamentalement, la fin parfaite de la cybersécurité en 2021 est une vulnérabilité Java de style années 90 dans un module open source, écrit par deux volontaires sans financement, utilisé par de grands fournisseurs de cybersécurité, non détecté jusqu'à ce que le chat Minecraft soit pwned, où personne ne sait comment répondre correctement. "
le Agence de la cybersécurité et de la sécurité des infrastructures (CISA) a rejoint le FBI, Agence de Sécurité Nationale (NSA) et des partenaires à l'étranger en publiant un avis pour aider les organisations à atténuer Log4Shell et d'autres vulnérabilités liées à Log4j.
Une demi-douzaine de vulnérabilités corrigées par Microsoft aujourd'hui a obtenu sa note « critique » la plus grave, ce qui signifie que les logiciels malveillants ou les malfaiteurs pourraient exploiter les failles pour obtenir un contrôle à distance complet sur un système Windows vulnérable avec peu ou pas d'aide des utilisateurs.
La faille Windows qui voit déjà une exploitation active est CVE-2021-43890, qui est un bogue de « usurpation » dans le Programme d'installation de Windows AppX au Windows 10. Microsoft dit être au courant des tentatives d'exploitation de cette faille en utilisant des packages spécialement conçus pour implanter des familles de logiciels malveillants comme Emotet, Trickbot et BazaLoader.
Kevin Breen, directeur de la recherche sur les menaces pour Immersive Labs, a déclaré que CVE-2021-43905 se démarque du lot de correctifs de ce mois-ci.
"Non seulement pour son score CVSS élevé de 9,6, mais aussi parce qu'il est noté comme" exploitation plus probable "", a observé Breen.
Microsoft a également corrigé CVE-2021-43883, une vulnérabilité d'élévation des privilèges dans Windows Installer.
« Cela semble être un correctif pour un contournement de correctif de CVE-2021-41379, une autre vulnérabilité d'élévation des privilèges dans Windows Installer qui aurait été corrigée en novembre » Satnam Narang de Tenable souligne. "Cependant, les chercheurs ont découvert que le correctif était incomplet et une preuve de concept a été rendue publique à la fin du mois dernier."
Google a publié cinq correctifs de sécurité pour Chrome, dont un classé critique et trois autres de gravité élevée. Si vous naviguez avec Chrome, surveillez quand vous voyez un onglet "Mettre à jour" apparaître à droite de la barre d'adresse. Si cela fait un moment que vous avez fermé le navigateur, vous pouvez voir le bouton Mettre à jour passer du vert à l'orange, puis au rouge. Vert signifie qu'une mise à jour est disponible depuis deux jours ; orange signifie que quatre jours se sont écoulés et rouge signifie que votre navigateur est en retard d'une semaine ou plus sur les mises à jour importantes. Fermez complètement et redémarrez le navigateur pour installer les mises à jour en attente.
En outre, Adobe a publié des correctifs pour corriger plus de 60 failles de sécurité dans de nombreux produits, notamment Adobe Audition, Lightroom, Media Encoder, Premiere Pro, Prelude, Dimension, After Effects, Photoshop, Connect, Experience Manager et Premiere Rush.
Clause de non-responsabilité standard : avant de mettre à jour Windows, s'il te plaît assurez-vous d'avoir sauvegardé votre système et/ou vos fichiers importants. Il n'est pas rare qu'un package de mise à jour Windows arrose son système ou l'empêche de démarrer correctement, et certaines mises à jour sont connues pour effacer ou corrompre des fichiers.
Alors faites-vous plaisir et sauvegardez avant d'installer des correctifs. Windows 10 possède même des outils intégrés pour vous aider à le faire, soit par fichier/dossier, soit en créant une copie complète et amorçable de votre disque dur en une seule fois.
Et si vous souhaitez vous assurer que Windows a été configuré pour suspendre la mise à jour afin que vous puissiez sauvegarder vos fichiers et/ou votre système avant que le système d'exploitation ne décide de redémarrer et d'installer les correctifs selon son propre calendrier, consultez ce guide.
Si vous rencontrez des problèmes ou des problèmes lors de l'installation de l'un de ces correctifs ce mois-ci, pensez à laisser un commentaire à ce sujet ci-dessous ; il y a de bonnes chances que d'autres lecteurs aient vécu la même chose et puissent donner des conseils utiles.
Lecture complémentaire :
Liste SANS ISC de chaque vulnérabilité Microsoft corrigée aujourd'hui, indexée par gravité et composant affecté.
Commentaires
Laisser un commentaire