Archives par mot-clé : adobe

Cybersécurité

83 vulnérabilités Microsoft dont 7 critiques et 1 activement exploitée

Patch Tuesday Microsoft & Adobe – 83 vulnérabilités Microsoft dont 7 critiques et 1 activement exploitée. 60 vulnérabilités Adobe dont 28 critiques.

Microsoft corrige 83 vulnérabilités avec la publication de son Patch Tuesday de décembre 2021, dont 5 classées comme critiques. L’édition de décembre corrige aussi une vulnérabilité Zero-Day activement exploitée. Les produits concernés par la mise à jour de sécurité de décembre de Microsoft sont Microsoft Office, Microsoft PowerShell, le navigateur Microsoft Edge basé sur Chromium, le noyau Windows, le spooler d’impression et le client du service Bureau à distance. Microsoft corrige des problèmes dans les logiciels, y compris des vulnérabilités par exécution de code à distance (RCE), des failles de sécurité facilitant une élévation des privilèges ainsi que des problèmes d’usurpation et de déni de service. 

Vulnérabilités Microsoft à prioriser et corriger… rapidement. 

CVE-2021-43890 | Vulnérabilité d’usurpation d’identité dans le programme Windows d’installation de paquets AppX. 

Cette vulnérabilité CVSS 7.1 est un Zero-Day identifié comme une vulnérabilité d’usurpation d’identité activement exploitée dans le programme d’installation de logiciels AppX et qui affecte Microsoft Windows. Microsoft a identifié des attaques qui tentent d’exploiter cette vulnérabilité en utilisant des paquets malveillants comprenant la famille de malware Emotet/Trickbot/Bazaloader.

Un attaquant peut créer une pièce jointe malveillante qui sera ensuite utilisée pour des campagnes de phishing. Il suffira ensuite à l’attaquant de persuader l’utilisateur ciblé d’ouvrir cette pièce jointe malveillante. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits utilisateur sur le système seront moins impactés que les utilisateurs ayant des droits administratifs. 

CVE-2021-43215 | Vulnérabilité de corruption de mémoire sur le serveur iSNS pouvant entraîner l’exécution de code à distance 

Cette vulnérabilité d’exécution de code à distance (RCE) cible le protocole Internet Storage Name Service (iSNS) qui facilite les interactions entre les serveurs et les clients iSNS. Un attaquant peut envoyer une requête malveillante au serveur iSNS pour déclencher une exécution de code à distance. Avec un score de sévérité CVSS de 9,8, cette vulnérabilité critique doit être corrigée en priorité. 

CVE-2021-43217 | Vulnérabilité d’exécution de code à distance dans le système de chiffrement de fichiers EFS de Windows. 

Il s’agit d’une vulnérabilité RCE qui cible le système de chiffrement de fichiers (EFS) et qui permet à un attaquant de provoquer un débordement de tampon d’écriture entraînant une exécution de code non mis en bac à sable et non authentifié. Avec un score de sévérité CVSS de 8,1, il s’agit d’une vulnérabilité à corriger rapidement. 

Microsoft est en train de résoudre cette vulnérabilité via un déploiement en deux temps. Ces mises à jour corrigent la vulnérabilité en modifiant la manière dont le système EFS établit les connexions depuis le client vers le serveur. 

Pour obtenir des conseils sur la façon de gérer les modifications requises pour cette vulnérabilité et pour en savoir plus sur le déploiement par étapes, se reporter à l’article KB5009763: EFS security hardening changes in CVE-2021-43217

Lorsque la deuxième phase de mises à jour Windows sera disponible au cours du premier trimestre 2022, les clients seront avertis au moyen d’une révision de cette vulnérabilité de sécurité. Pour être avertis de la disponibilité de cette mises à jour, nous vous invitons à vous inscrire à la liste de diffusion des avis de sécurité qui vous tiendra informés des modifications de contenu qui seront apportées à cet avis. Voir les avis de sécurité technique de Microsoft (Microsoft Technical Security Notifications)

CVE-2021-43905 | Vulnérabilité d’exécution de code à distance dans les applications Microsoft Office 

Il s’agit là d’une vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans les applications Microsoft Office. À corriger rapidement car elle affiche un score de sévérité de 9,6. 

CVE-2021-41333 | Vulnérabilité d’élévation de privilèges dans le spooler d’impression Windows 

Cette vulnérabilité d’élévation de privilèges dans le spooler d’impression Windows qui a été rendue publique peut être facilement attaquée si bien qu’avec un score de sévérité de 7,8 cette vulnérabilité doit être corrigée rapidement. 

CVE-2021-43233 | Vulnérabilité d’exécution de code à distance sur le client Bureau à distance 

Cette vulnérabilité RCE critique contenue dans le déploiement mensuel de Windows doit elle aussi être corrigée rapidement en raison d’un score de sévérité de 7,5. 

Adobe Patch Tuesday – Décembre 2021 

À l’occasion de ce Patch Tuesday, Adobe a publié 11 mises à jour de sécurité pour ses produits qui permettent de corriger 60 vulnérabilités CVE dont 28 sont classées comme critiques et qui impactent les produits Adobe After Effects, Dimension, Experience Manager, Media Encoder, Photoshop, Prelude, ainsi que Premiere Pro et Rush. 

Hacking

Une mise à jour Adobe Lightroom efface les photos

Voilà qui est fâcheux pour les utilisateurs de l’application Adobe Lightroom pour iPhone et iPad. La dernière mise à jour effacé les photos des utilisateurs.

Abracadabra… plus de photos ! La dernière mise à jour pour Adobe Lightroom à destination des iPhone et Ipad a effacé les photos des utilisateurs. Un étonnant bug qu’Adobe a rapidement corrigé, mais le mal était fait pour de nombreux utilisateurs. « Certains clients qui ont mis à jour vers Lightroom 5.4.0 sur iPhone et iPad peuvent perdre des photos et / ou des préréglages. Cela a affecté les clients utilisant Lightroom mobile sans abonnement au cloud Adobe. Cela a également affecté les clients du cloud Lightroom avec des photos et des préréglages qui n’avaient pas encore été synchronisés avec le cloud Adobe.« 

Les utilisateurs de l’outil dédié aux photos sous Android, MacOS et Windows n’ont pas connu cette faille. « L’installation de la version 5.4.1 ne restaurera pas les photos ou préréglages manquants pour les clients affectés par le problème introduit dans la version 5.4.0. » souligne Adobe en s’excusant du problème. « Nous savons que certains clients ont des photos et des préréglages qui ne sont pas récupérables. Nous savons à quel point cela sera frustrant et bouleversant pour les personnes touchées et nous nous excusons sincèrement.« 

Cybersécurité, Mise à jour, Patch

Microsoft et navigateurs : 79 vulnérabilités corrigées

Ce mois-ci, le Patch Tuesday de septembre 2019 traite de 79 vulnérabilités dont 17 classées critiques. Parmi ces dernières, 8 affectent les moteurs de scripts et les navigateurs, 4 la connexion Bureau à distance et 3 SharePoint. En outre, Microsoft a publié un nouveau patch pour une vulnérabilité critique au sein des fichiers LNK et pour une vulnérabilité dans Azure DevOps/TFS. Adobe a également publié des correctifs pour Flash et Application Manager.

 

Le déploiement de patches pour les moteurs de script, les navigateurs et les fichiers LNK est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Connexion Bureau à distance et navigateurs

Microsoft a corrigé quatre vulnérabilités par exécution de code à distance au sein de la fonctionnalité Connexion Bureau à distance : CVE-2019-0787, CVE-2019-0788, CVE-2019-1290 et CVE-2019-1291. Pour exploiter ces vulnérabilités, un attaquant aura besoin qu’un utilisateur se connecte à un serveur RDP malveillant ou compromis. Les vulnérabilités découvertes par Microsoft suite à un test interne sur la fonction Connexion Bureau à distance. Des patchs prioritaires sur tous les systèmes qui utilisent la fonction de connexion Bureau à distance.

SharePoint

En outre, Microsoft a publié des correctifs pour résoudre trois vulnérabilités RCE dans SharePoint : CVE-2019-1257, CVE-2019-1295 et CVE-2019-1296. L’une d’entre elles implique de télécharger une application malveillante tandis que les deux autres sont des vulnérabilités au niveau de la désérialisation dans l’API SharePoint.

Des correctifs à déployer en priorité pour tous les serveurs SharePoint.

Azure DevOps Server (anciennement Team Foundation Server)

Azure DevOps Server et Team Foundations Server (TFS) sont affectés par une vulnérabilité par exécution de code à distance (CVE-2019-1306) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Aussi concernés les utilisateurs anonymes via des serveurs configurés pour les valider.

Un correctif prioritaire pour toutes les installations Azure DevOps ou TFS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges

Microsoft corrige deux vulnérabilités facilitant une élévation des privilèges exploitées en aveugle.

CVE-2019-1214 est une faille dans le pilote Common Log File System (CLFS), tandis que CVE-2019-1215 concerne le pilote Winsock.

Ces deux problèmes impactent toutes les versions Windows. Corrections prioritaires. Les vulnérabilités facilitant une élévation des privilèges sont généralement utilisées avec une exécution de code à distance où cette dernière n’accorde pas de droits administratifs

Adobe

Ce mois-ci, peu de publications d’Adobe. L’éditeur a publié des correctifs pour deux vulnérabilités critiques dans le Flash Player, correctifs qui doivent être déployés de manière prioritaire sur tous les systèmes de type poste de travail Adobe a également corrigé une vulnérabilité classée comme importante concernant le chargement de DLL non sécurisé dans Application Manager.

Communiqué de presse, Cybersécurité, Linux, Mise à jour, Patch, Securite informatique

Patch Tuesday Linux et Adobe

Déni de service via TCP SACK vers le noyau Linux

Plusieurs vulnérabilités DoS ont été rapportées en juin concernant le noyau Linux (CVE-2019-11477CVE-2019-11478, CVE-2019-11479). Microsoft a publié un avis de sécurité fournissant des informations et des liens sur ces vulnérabilités.

Patch Tuesday version Adobe

Adobe a publié des correctifs pour Bridge CC, Experience Manager et Dreamweaver. Trois vulnérabilités sont corrigées dans Experience Manager tandis qu’une vulnérabilité est résolue dans Bridge et Dreamweaver. Aucune d’entre elles n’est considérée comme critique et le niveau de vulnérabilité le plus élevé pour chaque logiciel concerné est Important.

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday juin : 88 vulnérabilités, 21 critiques

Le Patch Tuesday de Microsoft traite 88 vulnérabilités dont 21 classées comme critiques. Parmi ces dernières, 17 affectent les moteurs de scripts et les navigateurs tandis que 3 sont des attaques Escape potentielles contre l’hyperviseur Hyper-V.

Patch Tuesday – La dernière vulnérabilité est une exécution de code à distance (RCE) au sein de l’API de reconnaissance vocale Microsoft Speech. Microsoft a également publié des recommandations pour les clés FIDO Bluetooth basse consommation ainsi que pour HoloLens et Microsoft Exchange. Concernant Adobe, l’éditeur vient de publier des correctifs pour Flash, ColdFusion et Campaign.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script et les navigateurs est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multiutilisateurs qui font office de postes de travail distants.

Attaque Escape contre l’hyperviseur Hyper-V

Trois vulnérabilités avec exécution de code à distance (CVE-2019-0620, CVE-2019-0709 et CVE-2019-0722) sont corrigées dans Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur l’hôte. Microsoft signale que l’exploitation de ces vulnérabilités est moins probable. Les patches restent tout de même une priorité pour les systèmes Hyper-V.

Exécution de code RCE dans l’API de reconnaissance vocale Microsoft Speech

L’API Microsoft Speech abrite une vulnérabilité par exécution de code à distance (CVE-2019-0985). Affectant Windows 7 et Server 2008 R2, elle a besoin qu’un utilisateur ouvre un document malveillant.

Avis de sécurité

Microsoft a également publié plusieurs avis de sécurité  :

  • ADV190016 qui désactive la possibilité d’utiliser certaines clés de sécurité FIDO basse consommation Bluetooth en raison d’une vulnérabilité divulguée en mai 2019. Google et Feitian ont également publié des avis de sécurité pour les clients qui utilisent ces clés.

  • ADV190017 qui corrige plusieurs vulnérabilités dans HoloLens permettant à un attaquant non identifié de lancer des attaques DoS ou de compromettre des équipements HoloLens se trouvant à proximité.

  • ADV190018 qui fournit une mise à jour de la défense en profondeur de Microsoft Exchange Server même si, à l’heure actuelle, aucun détail n’a été communiqué sur cette mise à jour.

Patch Tuesday version Adobe

Adobe a publié des mises à jour pour Flash, ColdFusion et Campaign. La mise à jour pour Flash permet de résoudre une vulnérabilité et exposition courante (CVE) et doit être déployée en priorité sur les postes de travail sur lesquels Flash est installé. Les mises à jour pour ColdFusion corrigent trois vulnérabilités de types différents, toutes étant classées comme critiques. Quiconque utilise un serveur ColdFusion devrait le tester et déployer le correctif dès que possible. Quant au patch pour Adobe Campaign, il corrige sept vulnérabilités différentes dont une considérée comme critique. (Par Jimmy Graham dans The Laws of Vulnerabilities)

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Social engineering

Patch Tuesday : 79 vulnérabilités dont 22 critiques

Ce Patch Tuesday de mai 2019 traite 79 vulnérabilités dont 22 classées critiques. Parmi ces dernières, 18 affectent les moteurs de scripts et les navigateurs.

Les quatre restantes concernent des exécutions de code à distance (RCE) sur le protocole Remote Desktop (RDP), le serveur DHCP, GDI+ et Word. Microsoft a également publié des recommandations sur les techniques MDS (Microarchitectural Data Sampling) récemment divulguées dont les failles ZombieLoad, Fallout et RIDL. Concernant Adobe, le Patch Tuesday comprend des correctifs pour des vulnérabilités dans Flash, Acrobat/Reader (83 vulnérabilités !) et Media Encoder.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script, les navigateurs, GDI+ et Word est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi utilisateurs utilisés comme postes de travail distants par des utilisateurs.

Exécution de code RCE sur les services Remote Desktop (RDS)

Le protocole RDP (Remote Desktop Protocol) est affecté par la vulnérabilité par exécution de code à distance CVE-2019-0708. L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code de manière arbitraire sur un système affecté. Ce type de vulnérabilité peut faciliter la propagation de vers informatiques en raison du manque d’authentification et de l’omniprésence du service RDP. Même si un exploit Preuve de concept n’a pas encore été dévoilé, cette vulnérabilité doit être résolue en priorité absolue sur Windows 7, Server 2008 et Server 2008 R2.

Critiques : Exécution de code RCE sur le serveur DHCP

Le serveur DHCP de Windows est affecté par la vulnérabilité CVE-2019-0725 classée comme critique pouvant faciliter l’exécution de code à distance. Un quelconque attaquant non identifié peut envoyer des paquets à un serveur DHCP pour exploiter cette vulnérabilité, ce correctif est donc une priorité pour tous les déploiements DHCP Windows. Une vulnérabilité semblable au sein du serveur DHCP a été corrigée en février tandis qu’une autre vulnérabilité a été corrigée en mars sur le client DHCP.

Conseils pour les attaques MDS (Microarchitectural Data Sampling)

Microsoft a publié une documentation d’assistance concernant l’atténuation des attaques MDS (Microarchitectural Data Sampling). Les attaques de ce type s’appellent notamment ZombieLoad, Fallout et RIDL. Les CVE correspondant à ces vulnérabilités sont CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091. Intel diffuse aussi une présentation ainsi qu’un document détaillé sur les techniques employées et les atténuations à déployer.

Des mises à jour du microcode pour les processeurs concernés devront être réalisées pour atténuer ces attaques tandis que des correctifs devront être déployés pour les systèmes d’exploitation. Microsoft précise que la désactivation de l’hyper-threading (alias Simultaneous Multi Threading ou SMT) pourra s’avérer nécessaire pour une atténuation complète, même si Intel déconseille cette procédure. Microsoft distribuera des mises à jour du microcode uniquement pour Windows 10. Pour les autres systèmes d’exploitation, c’est le fabricant OEM qui devra fournir ces mises à jour souvent sous la forme d’une mise à jour du BIOS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges pour le traitement des erreurs Windows
Microsoft a également publié un correctif pour une vulnérabilité facilitant une élévation de privilèges pour le traitement des erreurs Windows (CVE-2019-0863) et qui a été exploitée à l’aveugle. L’application de ce correctif est donc prioritaire pour toutes les versions Windows prises en charge.

Adobe Patch Tuesday

Adobe a publié des correctifs pour Flash, Acrobat/Reader et Media Encoder. Même si les correctifs pour Flash ne concernent qu’une seule exécution CVE et que les patches pour Media Encoder en traitent deux, les patches pour Acrobat/Reader concernent pas moins de 83 vulnérabilités. Il est recommandé de traiter en priorité tous les systèmes hôtes impactés et plus particulièrement les équipements de type poste de travail. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)

Communiqué de presse, Cybersécurité

Patch Tuesday – Mars 2019 : 65 vulnérabilités dont 18 critiques

Le Patch Tuesday du mois de mars corrige 65 vulnérabilités dont 18 identifiées comme critiques. 13 de ces vulnérabilités critiques concernent les moteurs de scripts et des composants de navigateur et impactent les navigateurs Microsoft ainsi que la suite Office. Le Patch Tuesday de février 2019 comportait 74 vulnérabilités dont 20 critiques

Trois vulnérabilités entraînant une exécution de code à distance (RCE) sont corrigées sur le client DHCP de Windows de même qu’une vulnérabilité RCE sur le serveur TFTP exécutant des services de déploiement Windows et une élévation de privilèges dans Microsoft Dynamics 365. Le volume de patches publiés par Adobe ce mois-ci est plutôt léger et corrige seulement deux vulnérabilités et exposition courantes (CVE) dans Photoshop CC et Digital Editions.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script, ActiveX et MSXML sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont concernés les serveurs multi-utilisateurs qui servent de postes de travail distants à des utilisateurs.

Client DHCP Windows

Le client DHCP Windows étant utilisé sur les postes de travail et les serveurs, le déploiement de patches pour résoudre les trois vulnérabilités RCE doit être une priorité pour tous les systèmes Windows.

Serveur TFTP exécutant des services de déploiement Windows (WDS)

Si vous utilisez les services de déploiement Windows, ce patch doit être déployé en priorité dans la mesure où l’exploitation de la vulnérabilité affectant ces services peut entraîner l’exécution de code à distance sur le serveur concerné.

Microsoft Dynamics 365

Les déploiements sur site de Microsoft Dynamics 365 sont vulnérables aux élévations de privilèges si bien que le déploiement de correctifs pour ce système doit également être traité en priorité.

Avis de sécurité Microsoft

Microsoft a également publié trois avis de sécurité qui traitent différents sujets :

L’avis ADV190009 annonce la prise en charge de la signature du code SHA-2 pour Windows 7 SP1 et Windows Server 2008 R2. Cette mise à jour sera nécessaire pour tous les nouveaux correctifs publiés après juillet 2019. Les versions plus anciennes du serveur WSUS (Windows Server Update Services) doivent également être mises à jour afin de pouvoir distribuer les nouveaux patchs signés par l’algorithme de hachage SHA-2.

L’avis ADV190010 fournit des recommandations sur le partage entre plusieurs utilisateurs d’un même compte utilisateur. Microsoft déconseille ce comportement qu’il considère comme un risque de sécurité majeur.

L’avis ADV190005 fournit quant à lui des atténuations pour un possible déni de service dans http.sys lors de la réception de requêtes HTTP/2. Le patch permet de définir une limite pour le nombre de paramètres SETTINGS à envoyer lors d’une même requête.

Adobe

Adobe a publié des correctifs non sécuritaires pour Flash ainsi que des patchs de sécurité critiques pour Photoshop CC et Digital Editions, chacun de ces deux produits étant affecté par une vulnérabilité. (Jimmy Graham dans The Laws of Vulnerabilities)

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday : 74 vulnérabilités dont 20 critiques

Le patch Tuesday de ce mois de février 2019 propose la correction de 74 vulnérabilités, dont 20 critiques.

Le Patch Tuesday de ce mois-ci est très volumineux et porte sur la résolution de 74 vulnérabilités dont 20 classées critiques. 15 de ces vulnérabilités critiques concernent le moteur de script et des navigateurs, les 5 autres sont liées à GDI+, SharePoint et DHCP. Microsoft a également publié un avis de sécurité pour un exploit Zero-Day affectant Exchange ainsi qu’un patch pour l’une des deux vulnérabilités signalées. De son côté, Adobe a publié des mises à jour pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script et GDI+ sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Concernés, les serveurs multiutilisateurs en mode postes de travail distants.

Exchange

Fin janvier, un exploit Zero-Day a été annoncé pour Microsoft Exchange. Ce dernier utilise plusieurs vulnérabilités connues dans Exchange et Active Directory. L’attaquant qui exploite ces vulnérabilités peut élever ses privilèges jusqu’au rang d’administrateur de domaine. La semaine dernière, Microsoft a publié un avis de sécurité concernant cet exploit et donné certaines recommandations pour atténuer les vulnérabilités. Cependant, deux mises à jour ont été publiées aujourd’hui (CVE-2019-0686 et CVE-2019-0724) qui remplacent l’atténuation suggérée en amont. Le déploiement de ces mises à jour est hautement prioritaire dans tous les environnements Exchange.

SharePoint

Les deux vulnérabilités dans SharePoint (CVE-2019-0594 et CVE-2019-0604) permettent à un utilisateur malveillant d’exécuter du code dans le contexte d’un pool d’applications SharePoint et du compte de la ferme de serveurs SharePoint. L’utilisateur malveillant a besoin de droits spéciaux pour réaliser cette action. Le correctif est hautement prioritaire pour tous les serveurs SharePoint.

DHCP

Une vulnérabilité affecte le serveur DHCP de Windows. Classée comme critique. Elle peut faciliter l’exécution de code à distance.

Tout attaquant qui envoie des paquets à un serveur DHCP. Ce correctif doit donc être une priorité pour tous les déploiements DHCP Windows.

Correctifs Adobe

Pour conclure, Adobe a également publié des correctifs pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud. Les patches Acrobat/Reader corrige 71 CVE.

Classé comme important par Adobe, le patch pour Flash corrige une vulnérabilité de type « lecture hors limites » pouvant entraîner la divulgation d’informations. Pour sa part, Microsoft considère cette vulnérabilité comme critique et pouvant entraîner une exécution de code à distance.

Le correctif pour ColdFusion permet de traiter deux vulnérabilités, l’une étant classée comme critique. La vulnérabilité de désérialisation Java doit être corrigée dès que possible car son exploitation peut entraîner l’exécution de code à distance. Une procédure plus complète sera peut-être nécessaire après le déploiement de la mise à jour. (Par Jimmy Graham/Qualys)

Cybersécurité, Mise à jour, Patch

Patch Tuesday – Mai 2016

Un mois de Mai avec un Patch Tuesday parmi les plus intenses depuis un moment en raison des menaces 0-Day qui y sont traitées et de leur ampleur potentielle.

Microsoft et Adobe publient les mises à jour de sécurité, mais avant de rentrer dans les détails des mises à jour de mai (17 en tout), rappelons l’urgence d’une autre vulnérabilité qui vous a peut-être échappée. Le célèbre programme Open Source ImageMagick est actuellement la cible d’une attaque active sur Internet. La vulnérabilité CVE-2016-3714 (renommée ImageTragick) permet d’exécuter du code à distance (RCE) via le l’envoi d’images. Pour l’instant, aucun patch n’est disponible, mais une solution de contournement a été publiée pour neutraliser les attaques en cours. Nous vous recommandons de faire comme les pirates, c’est-à-dire de scanner votre infrastructure pour rechercher des occurrences d’ImageMagick puis d’appliquer cette solution de contournement dans le fichier policy.xml. C’est ce que j’ai immédiatement fait sur mes sites, même si je n’utilise ImageMagick qu’en mode ligne de commande pour créer des vignettes. À noter que ces deux dernières semaines la solution de contournement s’est enrichie et qu’il est donc intéressant de la recharger si vous l’avez déjà appliquée.

Revenons aux mises à jour de Microsoft et d’Adobe publiées pour résoudre les vulnérabilités actuellement attaquées de manière active avec au total 17 bulletins pour colmater plus de 100 failles logicielles.

Tout en haut de notre liste des priorités figure la mise à jour pour Internet Explorer (MS16-051) qui résout une vulnérabilité de type RCE critique, en l’occurrence CVE-2016-0189 qui est actuellement sous le feu d’attaques. Cette vulnérabilité est située dans le moteur JavaScript et, dans Vista et Windows 2008, le moteur est distinct du navigateur. Donc, si vous exécutez ces variantes de Windows (seulement 2% fonctionnent encore sous Vista), vous devez installer MS16-053.

Vient ensuite APSA16-02, un avis de sécurité Zero-Day pour Adobe Flash. Aucun correctif n’est encore disponible, il est important de surveiller l’évolution de la situation. Adobe devrait publier une nouvelle version de Flash d’ici la fin de cette semaine. La vulnérabilité en question nommée CVE-2016-4117 fait actuellement l’objet d’attaques à l’aveugle.

Nous vous suggérons de commencer par traiter ces trois vulnérabilités avant de traiter d’autres problèmes. Pour la suite des bulletins, vous devriez vous concentrer sur :

MS16-054 pour Office qui résout deux vulnérabilités critiques au sein du format de fichier RTF. Elles peuvent être déclenchées via le volet d’aperçu d’Outlook sans que vos utilisateurs cliquent sur le fichier malveillant. Je vous r ecommande d’utiliser la fonction de blocage de fichiers pour supprimer RTF des formats de fichiers que vous acceptez, ce qui renforcera un peu votre protection et vous fera gagner du temps pour résoudre pleinement ce problème.

MS16-052 pour le navigateur Microsoft Edge sous Windows 10. Ce bulletin traite quatre vulnérabilités critiques, soit un peu moins que pour l’ancien navigateur Internet Explorer avec le bulletin MS16-051, sachant qu’aucune de ces failles ne fait l’objet d’une attaque directe.

MS16-055, un patch pour le sous-système graphique de Windows. S’agissant d’une vulnérabilité dans l’interface GDI, les vecteurs d’attaque peuvent provenir du Web et de documents. Les versions Windows affectées vont de Vista à Windows 10.

MS16-057 pour le shell Windows. Ce bulletin résout une vulnérabilité critique dans l’interface utilisateur au cœur de Windows, elle permet à un attaquant d’exécuter du code distant sur le système

MS16-062 pour les pilotes du noyau Windows. Toutes ces vulnérabilités sont locales mais du même type que celui utilisé par les attaquants pour élever leurs privilèges après s’être introduits dans le système.

Les bulletins MS16-056 et MS16-059 pour le Journal Windows et Windows Media Center traitent des vulnérabilités au sein de formats de fichier utilisés par ces applications. Si vous utilisez ces programmes, soyez vigilants car les vulnérabilités sont assez fréquentes et des attaquants finiront par découvrir ces nouvelles possibilités d’attaque un jour à l’autre. En raison de sa similarité avec MS15-134 (supporté dans Metasploit), il y a des chances pour que le bulletin MS16-059 figure très bientôt dans les boîtes à outils pour pirates.

MS16-058 pour IIS. Si vous exécutez IIS comme serveur Web, intéressez-vous à ce bulletin s’il y a des risques que des attaquants obtiennent les privilèges requis pour accéder à vos systèmes

APSB16-14 pour Adobe Reader, la mise à jour bimensuelle gère 92 vulnérabilités et expositions CVE différentes. (Qualys)

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Patch Tuesday Avril 2016

Place au Patch Tuesday d’avril 2016 qui nous donne un aperçu de ce qui nous attend. La semaine dernière, Adobe a été contraint d’anticiper la publication de son patch mensuel pour Adobe Flash Player (APSB16-10) afin d’aider ses utilisateurs à se protéger contre une menace Zero Day exploitée en aveugle. Qui plus est, nous avons appris il y a deux semaines par l’équipe de développement de Samba l’existence de la vulnérabilité « Badlock » qui affecte à la fois Windows et Samba sur Linux/Unix.

Badlock semble cependant moins dangereuse qu’elle n’y paraît puisqu’elle est résolue par MS16-047, un bulletin Microsoft classé comme « important ». Il s’agit d’une vulnérabilité de type Man-in-the-Middle qui permet de se connecter à la place d’une autre personne utilisant des applications basées sur le protocole SAMR ou LSAD, le protocole SMB n’étant pas affecté. Toutes les versions de Windows sont touchées, de Vista à Server 2012 R2. Même s’il est difficile de la classer, cette vulnérabilité ne figure pas pour autant parmi les priorités absolues.

Hormis MS16-047, Microsoft a publié 12 autres bulletins lors de ce Patch Tuesday , soit 50 à ce jour pour l’année 2016. 30 vulnérabilités y sont traitées au total mais aucune menace Zero-Day. Le bulletin MS16-039 contient des correctifs pour un composant graphique de Windows et concerne toutes les versions, de Vista à Windows 10 en passant par Server 2008 et 2102 R2. Il est également destiné aux versions Office 2007 et 2010 plus anciennes ainsi qu’à .NET, Skype et Lync. Situées toutes les deux dans Windows, les deux menaces Zero-Day facilitent une élévation de privilèges, que ce soit pour un utilisateur normal ou un administrateur. Elles permettront d’exploiter une vulnérabilité qui introduit l’attaquant sur la machine, notamment via la faille dans Flash Player traitée par le patch APSB16-10 et résolue dans le bulletin Microsoft MS16-050. Dans ce cas de figure, l’utilisateur se rend sur un site Web anodin puis est victime d’un exploit Flash qui se développe ensuite via les vulnérabilités CVE-2016-0165/7 résolues dans le bulletin MS16-039. Pour se protéger contre de telles attaques, corrigez aussi vite que possible. Les bulletins MS16-050 pour Flash (APSB16-10 si vous utilisez Firefox) et MS16-039 figurent tout en haut de la liste des priorités de ce mois.

Le suivant sur la liste de ce Patch Tuesday est le bulletin de sécurité MS16-042 qui résout quatre failles dans Microsoft Office. Microsoft classe ce bulletin comme critique, ce qui est uniquement le cas lorsqu’une vulnérabilité peut être directement attaquée sans interaction de l’utilisateur. En effet, CVE-2016-0127 est une vulnérabilité basée sur l’exécution de code à distance (RCE) dans le format de fichier RTF. Ce dernier est automatiquement visualisé dans le volet d’aperçu d’Outlook et facilite une exécution RCE pour l’attaquant via un simple courrier électronique. Renforcez si possible votre configuration en bannissant les emails contenant des formats de fichier RTF. Vous pouvez également désactiver ces emails via la politique de blocage de fichiers d’Office qui fonctionne aussi bien sur 2007/2010 que sur 2013.

Microsoft Internet Explorer et Edge sont respectivement corrigés au moyen des bulletins critiques MS16-037 et MS16-038. Ces deux navigateurs sont affectés par six vulnérabilités. C’est d’ailleurs la première fois qu’Edge contient autant de failles qu’IE et qu’Edge rencontre des problèmes plus sérieux qu’IE, ce qui constitue également une première. Aucune de ces vulnérabilités n’est actuellement exploitée, mais comme la plupart des exploits visent les navigateurs, il est légitime de les mettre à jour sans tarder. N’oubliez pas que Microsoft ne propose des correctifs que pour le navigateur le plus récent associé à chaque système d’exploitation, à savoir IE11 à partir de Windows 7, IE9 pour Vista et IE10 pour Windows Server 2012.

Quant à la dernière vulnérabilité critique, elle se trouve dans le sous-système de traitement XML. Aucun patch n’a été publié à ce niveau depuis plus d’un an. Le bulletin MS16-040 fournit une nouvelle version de msxml.dll pour résoudre la seule vulnérabilité présente, CVE-2016-0147. Le vecteur d’attaque se situe au niveau d’un site Web qui transmet le format XML malveillant à la machine ciblée.

Même si elles sont classées comme non critiques, les autres vulnérabilités de ce Patch Tuesday peuvent avoir un impact non négligeable et être également intéressantes. Hyper-V fait ainsi l’objet d’un correctif dans le bulletin MS16-045 dans la mesure où un système invité peut abriter une élévation de privilèges susceptible d’être très critique dans un environnement hôte où l’attaquant accède aux systèmes à cause d’un problème de conception de Hyper-V. Les systèmes d’exploitation affectés sont Windows 8.1, Server 2012 et 2012 R2. Le bulletin MS16-041 résout une vulnérabilité unique dans .NET tandis que MS16-049 corrige une vulnérabilité DoS dans les systèmes Windows 10 au niveau du pilote HTTP.sys.

Adobe a corrigé Flash la semaine dernière en urgence à l’aide du patch APSB16-10, mais publie aujourd’hui des mises à jour pour Robohelp avec le patch APS16-12 et pour les applications Creative Cloud via le patch APSB16-11.

Ce sera tout pour avril et ce Patch Tuesday avec plusieurs menaces 0-Day et des vulnérabilités immédiatement exploitables qui rendent ce mois-ci plus critique que le mois dernier. Attendez-vous à ce que la vulnérabilité affectant Adobe Flash se répande et mettez en œuvre des solutions de contournement pour les procédures d’atténuation actuellement déployées. (Publié par wkandek dans The Laws of Vulnerabilities)