Plusieurs bogues Microsoft activement exploités

Un pare-chocs Patch mardi de juillet La mise à jour de Microsoft a marqué un retour au mauvais vieux temps de 2020, abordant 117 vulnérabilités, 13 d’entre elles classées comme critiques et quatre qui sont déjà exploitées à l’état sauvage par des acteurs malveillants.

Évaluer l’ampleur de la suppression des patchs, Automox Justin Knapp, responsable marketing produit senior, a déclaré : « Juillet représente un changement radical par rapport aux versions relativement légères dont nous avons été témoins au cours des mois précédents et met en évidence une augmentation des exploits zero-day et l’urgence nécessaire pour suivre le rythme d’une liste croissante de menaces.

« La récente augmentation des attaques de la chaîne d’approvisionnement a mis tout le monde au courant et renforce la nécessité d’être extrêmement diligent en ce qui concerne les meilleures pratiques en matière de correctifs et d’évaluation des risques pour assurer une exposition minimale. »

Kevin Breen, directeur de la recherche sur les cybermenaces à Laboratoires immersifs, a ajouté : « Comme toujours, dans la mesure du possible, corrigez rapidement et donnez la priorité à tout ce qui est activement exploité. Cependant, les correctifs sont évidemment spécifiques à chaque environnement. Ces conseils doivent donc être adaptés pour garantir la maintenance des systèmes critiques de l’entreprise. Idéalement, les correctifs devraient être testés sur des serveurs hors production avant d’être largement déployés. »

Les quatre bogues activement exploités contre lesquels les défenseurs doivent prioriser les correctifs sont :

• CVE-2021-34448, une vulnérabilité de corruption de mémoire dans Scripting Engine, qui donne à un attaquant la possibilité d’exécuter du code sur un système cible s’il parvient à convaincre l’utilisateur de visiter un site Web spécialement conçu. Décrit par Breen comme « élégant dans sa simplicité », ce bogue est trivial à exploiter car il est si facile de créer des domaines d’aspect professionnel portant des certificats TLS valides qui sont, en fait, malveillants.
• CVE-2021-33771, une vulnérabilité d’élévation de privilèges (EoP) dans le noyau Windows affectant Windows 8.1, Server 2012 R2 et les versions ultérieures de Windows.
• CVE-2021-31979, une autre vulnérabilité EoP dans le noyau Windows affectant Windows 7, Server 2008 et les versions ultérieures de Windows. Breen a noté que parce que les deux vulnérabilités du noyau permettent aux attaquants d’obtenir un contrôle accru sur leurs environnements cibles, elles attireraient inévitablement l’intérêt des opérateurs de ransomware.
• CVE-2021-34527, alias PrintNightmare, qui a déjà fait l’objet de un patch hors séquence, une vulnérabilité d’exécution de code à distance (RCE) dans le spouleur d’impression Windows. Selon Microsoft, la dernière version de ce correctif particulier devrait résoudre les problèmes précédemment soulevés.

Parmi les autres vulnérabilités à noter ce mois-ci, citons CVE-2021-33779, un contournement de la fonctionnalité de sécurité dans Windows ADFS Security ; CVE-2021-33781, un contournement de la fonction de sécurité dans Active Directory ; CVE-2021-34492, une vulnérabilité d’usurpation de certificat dans le système d’exploitation Windows ; CVE-2021-34473, une vulnérabilité RCE dans Microsoft Exchange Server ; et CVE-2021-34523, une autre vulnérabilité EoP dans Microsoft Exchange Server.

le Initiative Jour Zéro a également noté en particulier CVE-2021-34458, une vulnérabilité RCE dans le noyau Windows – un événement inhabituel et quelque chose qui mérite une attention particulière, et CVE-2021-34494, une vulnérabilité RCE dans Windows DNS Server.

d’Ivanti Chris Goettl a déclaré qu’alors que les équipes de sécurité cherchent à commencer à travailler sur l’application des correctifs, il est important de considérer plus que la gravité de leur évaluation par Microsoft et le score CVSS qui leur a été attribué.

“Si vous ne disposez pas de mesures supplémentaires pour déterminer le risque, il est très possible que vous manquiez certaines des mises à jour les plus percutantes”, a-t-il déclaré.

« Un bon exemple de la façon dont les algorithmes des fournisseurs utilisés pour définir la gravité peuvent donner un faux sentiment de sécurité peut être trouvé dans la programmation zero-day de ce mois-ci. Deux des CVE ne sont classés que par Microsoft comme importants, mais ils étaient activement exploités avant la publication de la mise à jour. Le score CVSSv3 pour le CVE critique est en fait inférieur aux deux CVE importants. »

Goettl a ajouté : « Selon des analystes comme Gartner, l’adoption d’une approche basée sur les risques pour la gestion des vulnérabilités peut réduire jusqu’à 80 % le nombre d’incidents de violation de données chaque année.