C’est le deuxième mardi de février, ce qui signifie que Microsoft et d’autres éditeurs de logiciels publient des dizaines de mises à jour pour corriger les failles de sécurité. En plus de la liste de ce mois, il y a deux jours zéro sous exploitation active et des failles réseau critiques qui permettent aux attaquants d’exécuter à distance du code malveillant ou d’arrêter des ordinateurs.
Le correctif le plus important corrige une faille d’exécution de code dans Adobe Reader, qui, malgré son statut de longue durée, reste largement utilisé pour afficher et travailler avec des documents PDF. CVE-2021-21017, lors du suivi de la vulnérabilité critique, provient d’un dépassement de mémoire tampon basé sur le tas. Après avoir été informé par une source anonyme, Adobe a averti que la faille avait été activement exploitée dans des attaques limitées ciblant les utilisateurs de Reader exécutant Windows.
Adobe n’a pas fourni de détails supplémentaires sur la vulnérabilité ou les attaques sauvages qui l’exploitent. En règle générale, les pirates utilisent des documents spécialement conçus envoyés par e-mail ou publiés en ligne pour déclencher la vulnérabilité et exécuter du code qui installe des logiciels malveillants sur l’appareil exécutant l’application. L’utilisation par Adobe du mot «limité» signifie probablement que les pirates informatiques concentrent étroitement leurs attaques sur un petit nombre de cibles de grande valeur.
Microsoft, quant à lui, a publié un correctif pour une vulnérabilité dans Windows 10 et Windows Server 2019 qui fait également l’objet d’attaques actives. La faille, indexée CVE-2021-1732, permet aux attaquants d’exécuter leur code malveillant avec des droits système élevés.
Chaîne d’exploits?
Les pirates utilisent généralement ces soi-disant exploits d’élévation de privilèges avec le code d’attaque qui cible une vulnérabilité distincte. Le premier permettra l’exécution du code tandis que le second garantira que le code s’exécute avec des privilèges suffisamment élevés pour accéder aux parties sensibles du système d’exploitation. Microsoft a remercié JinQuan, MaDongZe, TuXiaoYi et LiHao de DBAPPSecurity Co. Ltd. d’avoir découvert et signalé la vulnérabilité.
Dans un article de blog publié après la correction de la vulnérabilité, les chercheurs de DBAPPSecurity ont déclaré qu’un groupe avancé de hackers à menaces persistantes appelé Bitter exploitait la vulnérabilité dans “un nombre très limité d’attaques” contre des cibles en Chine. Les attaquants pourraient l’utiliser pour échapper au bac à sable de sécurité lorsque les cibles utilisaient Internet Explorer ou Adobe Reader.
“La qualité de cette vulnérabilité [is] haut et l’exploit est sophistiqué “, ont écrit les chercheurs.” L’utilisation de ce jour zéro dans la nature reflète la forte capacité de réserve de vulnérabilité de l’organisation. L’organisation menaçante a peut-être recruté des membres avec une certaine force ou les avoir achetés à des courtiers en vulnérabilité. ”
La mise à jour simultanée de CVE-2021-21017 et CVE-2021-1732, leur lien avec Windows et la capacité de CVE-2021-1732 à vaincre une importante défense de Reader soulèvent la possibilité distincte que les attaques in-the-wild combinent des exploits pour les deux vulnérabilités. Cependant, ni Microsoft ni Adobe n’ont fourni de détails confirmant cette spéculation.
Microsoft a publié mardi un bulletin de sécurité exhortant vivement les utilisateurs à corriger trois vulnérabilités dans le composant TCP / IP de Windows, responsable de l’envoi et de la réception du trafic Internet. CVE-2021-24074 et CVE-2021-24094 sont tous deux considérés comme critiques et permettent aux attaquants d’envoyer des paquets réseau manipulés de manière malveillante qui exécutent du code. Les deux failles permettent également aux pirates de lancer des attaques par déni de service, tout comme une troisième vulnérabilité TCP / IP suivie comme CVE-2021-24086.
Le bulletin a déclaré que le développement d’exploits d’exécution de code fiables serait difficile, mais que les attaques DoS sont beaucoup plus faciles et donc susceptibles d’être exploitées dans la nature.
«Les deux vulnérabilités RCE sont complexes, ce qui rend difficile la création d’exploits fonctionnels, donc ils ne sont pas probables à court terme», indique le bulletin de mardi. «Nous pensons que les attaquants seront en mesure de créer des exploits DoS beaucoup plus rapidement et prévoyons que les trois problèmes pourraient être exploités avec une attaque DoS peu de temps après leur publication. Par conséquent, nous recommandons aux clients d’agir rapidement pour appliquer les mises à jour de sécurité Windows ce mois-ci. »
Les trois vulnérabilités proviennent d’une faille dans l’implémentation de TCP / IP par Microsoft et affectent toutes les versions prises en charge des versions de Windows. Les implémentations non-Microsoft ne sont pas affectées. Microsoft a déclaré avoir identifié les vulnérabilités en interne.
56 vulnérabilités
En tout, Microsoft a corrigé 56 vulnérabilités sur plusieurs produits, notamment Windows, Office et SharePoint. Microsoft a évalué 11 des vulnérabilités comme critiques. Comme d’habitude, les utilisateurs concernés doivent installer les correctifs dès que possible. Ceux qui ne peuvent pas appliquer immédiatement un correctif doivent consulter les solutions de contournement répertoriées dans les avertissements.
Un mot aussi sur Adobe Reader. Adobe a consacré des ressources importantes au cours des dernières années à l’amélioration de la sécurité du produit. Cela dit, Reader comprend une multitude de fonctionnalités avancées dont les utilisateurs occasionnels ont rarement, voire jamais, besoin. Ces fonctionnalités avancées créent le type de surface d’attaque que les pirates adorent. La grande majorité des utilisateurs d’ordinateurs peuvent vouloir envisager un lecteur par défaut qui a moins de cloches et de sifflets. Edge, Chrome ou Firefox sont tous des remplaçants appropriés.
