La CISA demande instamment le correctif du bogue exploité de Windows 11 d'ici le 2 août

Une vulnérabilité de Windows 11, qui fait partie du tour d'horizon des correctifs de Microsoft Patch Tuesday, est exploitée à l'état sauvage, incitant la Cybersecurity and Infrastructure Security Agency (CISA) américaine à conseiller de corriger la faille d'élévation des privilèges d'ici le 2 août.

La recommandation s'adresse aux agences fédérales et concerne CVE-2022-22047, une vulnérabilité qui porte un score CVSS élevé (7.8) et expose le sous-système d'exécution Windows Client Server (CSRSS) utilisé dans Windows 11 (et les versions antérieures remontant à 7) ainsi que Windows Server 2022 (et les versions antérieures 2008, 2012, 2016 et 2019) pour attaquer.

[Événement à la demande GRATUIT: Rejoignez Zane Bond de Keeper Security dans une table ronde Threatpost et découvrez comment accéder en toute sécurité à vos machines depuis n'importe où et partager des documents sensibles depuis votre bureau à domicile. REGARDEZ ICI.]

Le bogue CSRSS est une vulnérabilité d'élévation des privilèges qui permet aux adversaires ayant une emprise préétablie sur un système ciblé d'exécuter du code en tant qu'utilisateur non privilégié. Lorsque le bogue a été signalé pour la première fois par l'équipe de sécurité de Microsoft au début du mois, il a été classé comme un jour zéro ou un bogue connu sans correctif. Ce correctif a été mis à disposition sur Mardi Juillet 5.

Les chercheurs de FortiGuard Labs, une division de Fortinet, ont déclaré que la menace que le bogue représente pour les entreprises est "moyenne". Dans un bulletin, des chercheurs expliquent la note dégradée parce qu'un adversaire a besoin d'un accès "local" ou physique avancé au système ciblé pour exploiter le bogue et qu'un correctif est disponible.

Cela dit, un attaquant qui a déjà obtenu un accès à distance à un système informatique (via une infection par un logiciel malveillant) pourrait exploiter la vulnérabilité à distance.

"Bien qu'il n'y ait aucune autre information sur l'exploitation publiée par Microsoft, on peut supposer qu'une exécution de code à distance inconnue a permis à un attaquant d'effectuer un mouvement latéral et d'élever les privilèges sur les machines vulnérables à CVE-2022-22047, permettant finalement les privilèges SYSTEM, " a écrit FortiGuard Labs.

Points d'entrée des documents Office et Adobe

Alors que la vulnérabilité est activement exploitée, il n'y a pas d'exploits publics connus de preuve de concept dans la nature qui peuvent être utilisés pour aider à atténuer ou parfois alimenter les attaques, selon un rapport de The Record.

"La vulnérabilité permet à un attaquant d'exécuter du code en tant que SYSTEM, à condition qu'il puisse exécuter un autre code sur la cible", a écrit Trend Micro. Zero Day Initiative (ZDI) dans son Patch Tuesday rafle la semaine dernière.

"Les bogues de ce type sont généralement associés à un bogue d'exécution de code, généralement un document Office ou Adobe spécialement conçu, pour prendre le contrôle d'un système. Ces attaques reposent souvent sur des macros, c'est pourquoi tant de personnes ont été découragées d'entendre le retard de Microsoft à bloquer toutes les macros Office par défaut », a écrit Dustin Childs, auteur de ZDI.

Microsoft a récemment déclaré qu'il bloquerait l'utilisation des macros Visual Basic pour Applications (VBA) par défaut dans certaines de ses applications Office, mais ne définit aucun calendrier pour appliquer la politique.

CISA a ajouté le bogue Microsoft à sa liste de course des vulnérabilités exploitées connues le 7 juillet (recherchez "CVE-2022-22047" pour trouver l'entrée) et recommande simplement "appliquer les mises à jour selon les instructions du fournisseur".

[Événement à la demande GRATUIT: Rejoignez Zane Bond de Keeper Security dans une table ronde Threatpost et découvrez comment accéder en toute sécurité à vos machines depuis n'importe où et partager des documents sensibles depuis votre bureau à domicile. REGARDEZ ICI.]

Image : Avec l'aimable autorisation de Microsoft