Parmi les bugs les plus sérieux figuraient les failles d’exécution de code à distance (RCE) affectant Windows Remote Desktop Gateway, qui est un service Microsoft permettant aux utilisateurs distants autorisés de se connecter aux ressources d’un réseau via le client RDP (Remote Desktop Connection).
Ces bugs de pré-authentification ne nécessitent aucune interaction avec l’utilisateur pour être exploités et impliquent qu’un attaquant envoie une demande spécialement conçue via RDP. Désignés par les numéros CVE-2020-0609 à 11, les bugs affectent Windows Server 2012 et 2012 R2, ainsi que Windows Server 2016 et 2019. Notés 9,8 dans le CVSS, ce sont des bugs plus que sérieux que les entreprises devraient corriger immédiatement.
Dans une analyse des correctifs Microsoft, Johannes Ullrich de SANS a expliqué :
Vous vous rappelez de BlueKeep ? RD Gateway est utilisé pour authentifier les utilisateurs et autoriser l’accès aux services RDP internes. Par conséquent, RD Gateway est souvent exposé et utilisé pour protéger les serveurs RDP existants contre d’éventuelles exploitations.
Plusieurs autres bugs critiques étaient présents dans le correctif Microsoft de ce mois-ci, tous éclipsés par celui concernant CryptoAPI, la bombe cryptographique que nous avons traitée dans un autre article mais qui restent importants pour les utilisateurs et les administrateurs de tous les jours.
CVE-2020-0603 est un bug RCE critique dans ASP.NET Core provenant d’une mauvaise gestion des objets en mémoire. Un utilisateur doit, pour être touché, ouvrir un fichier spécialement conçu qu’un attaquant lui a envoyé par email.
Le .NET Framework a eu sa dose de bugs critiques ce mois-ci. L’un d’entre eux est déclenché par un balisage, spécialement conçu, présent dans un fichier que le système ne parvient pas à vérifier. Désigné par CVE-2020-0605, ce bug est critique et affecte les versions de Windows Server remontant à 2008, et Windows allant de 10 aux Service Packs Windows 7. CVE-2020-0646, une autre faille dans .NET Framework, peut affaiblir le système avec une mauvaise validation d’entrée. Un attaquant pourrait transmettre une entrée malveillante à une application à l’aide de méthodes .NET sensibles.
Un bug dans le sous-système Windows pour Linux (WSL : Windows Subsystem for Linux), qui est la partie de Windows qui permet aux utilisateurs d’exécuter des services et des applications Linux, mérite d’être mentionné mais s’avère être non critique. Désigné par CVE-2020-0636, il permet à un attaquant d’exécuter du code avec des privilèges élevés en exécutant des applications qui abusent d’une faiblesse dans la façon dont WSL gère les fichiers.
Adobe
Récemment, Adobe a également corrigé neuf bugs dans ses produits, dont cinq failles critiques dans son logiciel de création graphique vectorielle Adobe Illustrator CC. Ce sont des failles de corruption de mémoire qui pourraient permettre à un attaquant d’exécuter du code arbitraire sur le système. S’ils ne peuvent pas exécuter de code, une telle tentative entraînera probablement un déni de service. Les bugs, CVE-2020-3710 à CVE-2020-3714, affectent les versions d’Illustrator antérieures à la version 24. L’installation de la dernière version, Illustrator CC 2019 24.2, permet de les corriger.
L’entreprise a également corrigé quatre autres bugs dans son produit Adobe Experience Manager, classés ‘Modérés’ ou ‘Importants’, lesquels pourraient conduire à la divulgation de données sensibles. Adobe a corrigé ces bugs, désignés par CVE-2019-16466 à CVE-2019-16469, avec les nouvelles versions du logiciel.
Billet inspiré de Microsoft fixes critical bugs in CryptoAPI, RD Gateway and .NET, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.