Le Patch Tuesday de mai 2015 est plutôt consistant. En effet, Microsoft a publié 13 bulletins pour mai, ce qui porte à 53 le nombre de bulletins depuis le début de l’année, un nombre un peu supérieur à celui constaté ces cinq dernières années, 2015 était peut-être même l’année la plus active à ce jour en la matière. Notre suivi interne du nombre de vulnérabilités indique que plus de 140 bulletins ont été publiés depuis le début de l’année, également un autre nouveau record :
Nombre de bulletins Microsoft par an
Le principal patch du mois est MS15-043 pour Internet Explorer (IE). Il résout 22 vulnérabilités et expositions courantes (CVE) dont 14 classées comme critiques. Les CVE présentes dans IE permettent d’exécuter du code à distance (RCE) sur la machine ciblée en dirigeant la proie vers une page Web malveillante. Pour ce faire, l’attaquant dispose de tout un éventail de techniques dans leur son arsenal.
Il peut notamment :
-
Attaquer des logiciels couramment utilisés pour les blogs et les forums pour prendre le contrôle du site Web puis y insérer des liens vers des pages malveillantes. La campagne SoakSoak constitue un bon exemple de ces pratiques. De récentes vulnérabilités de cette classe ont été découvertes dans le moteur d’e-commerce Magento ainsi que dans le CMS WordPress.
-
Exploiter les services de fournisseurs de publicités en ligne pour insérer des liens malveillants qui seront automatiquement inclus dans des sites Web de confiance utilisant les services de ces fournisseurs, comme cela s’est encore produit récemment avec MadAdsMedia.
-
Utiliser l’empoisonnement des moteurs de recherche, une technique dérivée de l’optimisation pour les moteurs de recherche (SEO) pour attirer le trafic vers des sites spécifiques hébergeant ce contenu malveillant. Tous les sujets d’actualité sont bons : bébés royaux, accidents, événements sportifs récents, streaming gratuit, etc.
Les pirates ont à leur disposition de nombreux exploits destinés à tout un éventail de vulnérabilités et qu’ils adaptent à la machine ciblée. On peut avancer sans se tromper que leurs vecteurs d’attaque préférés sont notamment Internet Explorer, les vulnérabilités Windows natives et Adobe Flash, vecteurs pour lesquels sont diffusées des mises à jour mensuelles car plus de 20 vulnérabilités et expositions courantes affectent ces derniers chaque mois. Préparez-vous à installer ces mises à jour aussi rapidement que possible. Mais dans quel délai ? Le tout dernier rapport d’enquête sur les failles de données (VDBIR) publié par Verizon en avril 2015 indique que 50% des vulnérabilités récemment exploitées qu’ils ont identifiées l’ont été dans un délai de deux semaines.
Mais toutes ne sont pas exploitées. En fait, en 2014, seulement 5% de l’ensemble des vulnérabilités de type RCE au sein des logiciels Microsoft (voir leur présentation à RSA 2015) sont en fin de compte devenus des exploits fonctionnels :
La difficulté est de prédire quels sont ces 5%. Il est important de s’intéresser au passé pour voir ce qui a été attaqué et quelles vulnérabilités sont concernées par les packs d’exploits afin de se préparer en conséquence. US-CERT vient de publier une recommandation de 30 CVE fréquemment attaqués selon eux tandis que le BSI, l’Office fédéral allemand de la sécurité des technologies de l’information, agite aussi une liste des CVE à rechercher. Pour faire court, Windows, Internet Explorer, Adobe Flash, Java et Office figurent tout en haut de leur liste.
Mais revenons à notre Patch Tuesday si vous le voulez bien. Notre deuxième priorité est le bulletin MS15-044 qui résout deux vulnérabilités critiques au sein de polices de la bibliothèque GDI+ et qui affectent de nombreux produits Microsoft. Les pirates peuvent utiliser des pages Web ou des documents contenant des polices malveillantes pour exécuter du code à distance. Le déploiement de cette mise à jour de sécurité MS15-044 est hautement prioritaire.
Le bulletin MS15-046 est seulement classé comme important par Microsoft, mais il résout des vulnérabilités de format de fichier RCE à la fois dans Word et Excel que des pirates pourraient exploiter pour prendre le contrôle des machines de vos utilisateurs. Ces deux vulnérabilités ont pour vecteur d’attaque des documents attachés à un email envoyé au compte de messagerie de vos utilisateurs dans l’espoir que ces derniers ouvrent les pièces jointes. Et environ 10% des cibles les ouvrent selon des données de l’APWG (http://www.antiphishing.org) fournies dans le rapport VDBIR de Verizon.
À propos de vulnérabilités au sein de formats de fichiers entraînant une exécution RCE, Adobe diffuse également un patch ce mois-ci. Ce dernier résout des problèmes critiques dans Adobe Flash et Adobe Reader/Acrobat via les bulletins de sécurité APSB15-09 et APSB15-10. Pour Adobe Reader, le vecteur d’attaque est semblable au scénario Office décrit plus haut, à savoir qu’un pirate doit inciter un utilisateur à ouvrir un document PDF joint formaté de manière à exécuter l’exploit. Une fois installés sur la machine, les attaquants exploiteront ensuite une deuxième vulnérabilité pour obtenir des privilèges d’administration système, par exemple une vulnérabilité au niveau du noyau que Microsoft résout dans ses bulletins MS15-051 et MS15-052. Intégrez les deux bulletins à votre programme de patch critique.
Les autres bulletins de sécurité critiques concernent Journal Windows avec six vulnérabilités. Deux des vulnérabilités sont publiquement connues sans être pour autant exploitées. Corrigez rapidement et envisagez de désactiver l’application de prise de notes Journal Windows. Ne connaissant personne qui utilise cette application, je recommande donc de suivre la solution de contournement décrite dans l’avis de sécurité et de neutraliser la description du fichier « .jnl » pour contrer cette attaque et les prochaines à venir contre ce logiciel.
C’en est fini des bulletins de sécurité critiques pour mai. Les autres avis de sécurité concernent un certain nombre d’autres produits Microsoft parmi lesquels le logiciel serveur Sharepoint qui profite d’un patch pour une vulnérabilité de type RCE potentiel dans MS15-047.
Corrigez rapidement, d’ici deux semaines si vous le pouvez. (Par wkandek)
