Microsoft divulgue 5 jours zéro dans une volumineuse mise à jour de sécurité de juillet

Microsoft Mise à jour de sécurité de juillet contient des correctifs pour 130 vulnérabilités uniques, dont cinq sont déjà activement exploitées par des attaquants.

La société a évalué neuf des défauts comme étant de gravité critique et 121 d'entre eux comme étant de gravité modérée ou importante. Les vulnérabilités affectent un large éventail de produits Microsoft, notamment Windows, Office, .Net, Azure Active Directory, les pilotes d'imprimante, le serveur DMS et le bureau à distance. La mise à jour contenait le mélange habituel de failles d'exécution de code à distance (RCE), de problèmes de contournement de sécurité et d'escalade de privilèges, de bogues de divulgation d'informations et de vulnérabilités de déni de service.

"Ce volume de correctifs est le plus élevé que nous ayons vu ces dernières années, même s'il»Il n'est pas rare de voir Microsoft expédier un grand nombre de correctifs juste avant la conférence Black Hat USA », a déclaré Dustin Childs, chercheur en sécurité chez Trend Micro's Zero Day Initiative (ZDI), dans un article de blog.

Du point de vue de la hiérarchisation des correctifs, les cinq jours zéro que Microsoft a divulgués cette semaine méritent une attention immédiate, selon les chercheurs en sécurité.

Le plus grave d'entre eux est CVE-2023-36884, un bogue d'exécution de code à distance (RCE) dans Office et Windows HTML, pour lequel Microsoft n'avait pas de correctif dans la mise à jour de ce mois-ci. La société a identifié un groupe de menaces qu'elle suit, Storm-0978, comme exploitant la faille d'une campagne de phishing ciblant des organisations gouvernementales et de défense en Amérique du Nord et en Europe.

La campagne implique que l'acteur de la menace distribue une porte dérobée, surnommée RomCom, via des documents Windows avec des thèmes liés au Congrès mondial ukrainien. "Tempête-0978»Les opérations ciblées ont eu un impact sur les organisations gouvernementales et militaires principalement en Ukraine, ainsi que sur les organisations en Europe et en Amérique du Nord potentiellement impliquées dans les affaires ukrainiennes », Microsoft a déclaré dans un blog post qui accompagnait la mise à jour de sécurité de juillet. "Les attaques de ransomware identifiées ont eu un impact sur les secteurs des télécommunications et de la finance, entre autres."

Dustin Childs, un autre chercheur de ZDI, a averti les organisations de traiter CVE-2023-36884 comme un problème de sécurité « critique », même si Microsoft lui-même l'a évalué comme un bogue « important » relativement moins grave. "Microsoft a pris l'action étrange de publier ce CVE sans un patch. Ce»est encore à venir », a écrit Childs dans un article de blog. « Clairement, là»c'est beaucoup plus à cet exploit qu'on ne le dit.

Deux des cinq vulnérabilités activement exploitées sont des failles de contournement de sécurité. L'un affecte Microsoft Outlook (CVE-2023-35311) et l'autre implique Windows SmartScreen (CVE-2023-32049). Les deux vulnérabilités nécessitent une interaction de l'utilisateur, ce qui signifie qu'un attaquant ne pourrait les exploiter qu'en convainquant un utilisateur de cliquer sur une URL malveillante. Avec CVE-2023-32049, un attaquant pourrait contourner l'invite Ouvrir le fichier - Avertissement de sécurité, tandis que CVE-2023-35311 donne aux attaquants un moyen de se faufiler à l'aide de l'invite Avis de sécurité Microsoft Outlook.

"Il est important de noter que [CVE-2023-35311] permet spécifiquement de contourner les fonctionnalités de sécurité de Microsoft Outlook et ne permet pas l'exécution de code à distance ou l'élévation des privilèges", a déclaré Mike Walters, vice-président de la recherche sur les vulnérabilités et les menaces chez Action1. "Par conséquent, les attaquants sont susceptibles de le combiner avec d'autres exploits pour une attaque complète. La vulnérabilité affecte toutes les versions de Microsoft Outlook à partir de 2013 », a-t-il noté dans un e-mail à Dark Reading.

Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs, a évalué l'autre contournement de sécurité zero-day - CVE-2023-32049 - comme un autre bogue que les acteurs de la menace utiliseront très probablement dans le cadre d'une chaîne d'attaque plus large.

Les deux autres zero-days du dernier ensemble de correctifs de Microsoft permettent tous deux l'élévation des privilèges. Les chercheurs du groupe d'analyse des menaces de Google ont découvert l'un d'entre eux. La faille, suivie comme CVE-2023-36874, est un problème d'élévation de privilèges dans le service de rapport d'erreurs Windows (WER) qui permet aux pirates d'obtenir des droits d'administration sur les systèmes vulnérables. Un attaquant aurait besoin d'un accès local à un système affecté pour exploiter la faille, qu'il pourrait obtenir via d'autres exploits ou via une mauvaise utilisation des informations d'identification.

"Le service WER est une fonctionnalité des systèmes d'exploitation Microsoft Windows qui collecte et envoie automatiquement des rapports d'erreurs à Microsoft lorsque certains logiciels se bloquent ou rencontrent d'autres types d'erreurs", a déclaré Tom Bowyer, chercheur en sécurité chez Automox. "Cette vulnérabilité zero-day est activement exploitée, donc si WER est utilisé par votre organisation, nous vous recommandons de corriger dans les 24 heures", a-t-il déclaré.

L'autre bogue d'élévation de privilèges dans la mise à jour de sécurité de juillet que les attaquants exploitent déjà activement est CVE-2023-32046 dans la plate-forme Windows MSHTM de Microsoft, alias le moteur de rendu de navigateur "Trident". Comme pour de nombreux autres bogues, celui-ci nécessite également un certain niveau d'interaction de la part de l'utilisateur. Dans un scénario d'attaque par e-mail pour exploiter le bogue, un attaquant devrait envoyer à un utilisateur ciblé un fichier spécialement conçu et amener l'utilisateur à l'ouvrir. Dans une attaque basée sur le Web, un attaquant devrait héberger un site Web malveillant - ou utiliser un site Web compromis - pour héberger un fichier spécialement conçu, puis convaincre une victime de l'ouvrir, a déclaré Microsoft.

RCE dans le routage Windows, service d'accès à distance

Les chercheurs en sécurité ont mis en évidence trois vulnérabilités RCE dans le service de routage et d'accès à distance Windows (RRAS) (CVE-2023-35365, CVE-2023-35366et une CVE-2023-35367) comme méritant une attention prioritaire. Microsoft a évalué les trois vulnérabilités comme critiques et toutes les trois ont un score CVSS de 9.8. Le service n'est pas disponible par défaut sur Windows Server et permet essentiellement aux ordinateurs exécutant le système d'exploitation de fonctionner comme des routeurs, des serveurs VPN et des serveurs d'accès à distance, a déclaré Bowyer d'Automox. "Un attaquant réussi pourrait modifier les configurations réseau, voler des données, passer à d'autres systèmes plus critiques/importants ou créer des comptes supplémentaires pour un accès permanent à l'appareil."

Failles du serveur SharePoint

La gigantesque mise à jour de juillet de Microsoft contenait des correctifs pour quatre vulnérabilités RCE dans le serveur SharePoint, qui est récemment devenu une cible populaire pour les attaquants. Microsoft a classé deux des bogues comme "importants" (CVE-2023-33134 ainsi que CVE-2023-33159) et les deux autres comme "critiques" (CVE-2023-33157 ainsi que CVE-2023-33160). "Tous exigent que l'attaquant soit authentifié ou que l'utilisateur effectue une action qui, heureusement, réduit le risque de violation", a déclaré Yoav Iellin, chercheur principal à Silverfort. "Même dans ce cas, comme SharePoint peut contenir des données sensibles et est généralement exposé de l'extérieur de l'organisation, ceux qui utilisent les versions sur site ou hybrides doivent se mettre à jour."

Les organisations qui doivent se conformer à des réglementations telles que FEDRAMP, PCI, HIPAA, SOC2 et réglementations similaires doivent prêter attention à CVE-2023-35332 : une faille de contournement de la fonctionnalité de sécurité du protocole de bureau à distance de Windows, a déclaré Dor Dali, responsable de la recherche chez Cyolo. La vulnérabilité est liée à l'utilisation de protocoles obsolètes et obsolètes, y compris la version 1.0 de Datagram Transport Layer Security (DTLS), qui présente un risque de sécurité et de conformité substantiel pour les organisations, a-t-il déclaré. Dans les situations où une organisation ne peut pas mettre à jour immédiatement, elle doit désactiver la prise en charge UDP dans la passerelle RDP, a-t-il déclaré.

De plus, Microsoft publié un avis sur son enquête sur des rapports récents sur des acteurs de la menace utilisant des pilotes certifiés sous Microsoft»s Programme de développement matériel Windows (MWHDP) en activité post-exploit.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update