Microsoft vient de publier sa mise à jour de sécurité mensuelle pour le mois de juillet. Les correctifs de ce mois-ci traitent 77 vulnérabilités affectant Windows ainsi qu’une gamme de logiciels fonctionnant sous Windows, principalement Internet Explorer, DirectX et le sous-système graphique.
Ce mois-ci, les produits Adobe ne se sont pas mis en phase avec cette mise à jour en publiant les correctifs pour leurs propres produits.
Parmi les vulnérabilités, 16 sont classées par Microsoft comme critiques, 60 comme importantes et 1 comme modérée.
Presque toutes les vulnérabilités critiques permettent à un attaquant d’exécuter du code à distance au niveau du système ciblé et 19 vulnérabilités importantes peuvent être utilisées pour obtenir une élévation locale de privilèges. Lors d’une attaque réussie par ingénierie sociale, par le biais d’un site web malveillant ou via des documents Excel, un attaquant externe pourrait alors compromettre intégralement la machine d’un utilisateur cible.
Il existe 6 vulnérabilités critiques pour Internet Explorer et 5 pour Chakra : le moteur JavaScript de Edge et Internet Explorer. Les composants suivants présentent tous une vulnérabilité d’exécution de code à distance : le serveur DHCP Windows, le serveur Azure DevOps, le Framework .NET et l’API GDI +. Enfin, il existe un contournement de l’identification pour les applications utilisant Windows Communication Foundation et l’API Windows Identity Foundation.
Des signalements indiquent que les deux vulnérabilités d’élévation de privilèges affectant les composants Windows sont activement exploitées.
Il convient de rappeler à nos lecteurs que la disponibilité des correctifs ne signifie pas pour autant que votre ordinateur les a installés. Pour trouver et télécharger vous-même les mises à jour cumulatives de ce mois-ci, recherchez le terme “2019-07” sur le site web Microsoft Update Catalog.
Examinons de plus près certaines vulnérabilités intéressantes.
Vulnérabilité d’élévation de privilèges dans Win32k
CVE-2019-1132
Le pilote Win32k sur Windows 7 32 bits peut être utilisé pour obtenir un déréférencement du pointeur NULL. Un attaquant exécutant du code à distance pourrait alors utiliser cette vulnérabilité pour obtenir une élévation locale de privilèges. Celle-ci a déjà été exploitée sur le terrain.
Vulnérabilité d’élévation de privilèges dans Microsoft splwow64
CVE-2019-0880
Il existe un problème de déréférencement du pointeur dans le pilote d’imprimante pour les processus 32 bits qui pourrait être utilisé pour contourner le sandbox de l’EPM (Enhanced Protected Mode) d’Internet Explorer.
Après avoir exécuté le code à distance à l’aide d’une vulnérabilité semblable à celles décrites ci-après, et qui affecte les navigateurs Web Edge ou Internet Explorer, un attaquant pourrait alors exploiter cette vulnérabilité pour créer un nouveau processus avec un niveau d’intégrité plutôt moyen. Cette dernière a déjà été exploitée sur le terrain.
Plusieurs vulnérabilités de corruption de mémoire dans les navigateurs
Internet Explorer : CVE-2019-1001, -1004, -1056, -1059, -1063, et -1104
Chakra : CVE-2019-1062, -1092, -1103, -1106, et -1107
Internet Explorer et Edge souffrent de plusieurs vulnérabilités de corruption de mémoire, telles que la confusion des types, l’écriture non autorisée et l’use-after-free.
Si un attaquant peut amener une victime à visiter un site web malveillant, il peut alors exécuter du code à distance au niveau du navigateur web. Il est plus difficile d’obtenir le contrôle total de la machine : l’attaquant aurait besoin de contourner le sandbox à l’aide d’une vulnérabilité telle que CVE-2019-0880 mentionnée précédemment, puis d’exécuter une élévation de privilèges locale offrant ainsi un accès administratif complet.
La couverture offerte par Sophos
Sophos a publié les détections suivantes pour traiter les vulnérabilités mentionnées ci-dessus. Veuillez noter que des vulnérabilités supplémentaires et les détections correspondantes pourraient être publiées dans un futur proche.
Le code PoC fourni avec les avertissements MAPP n’inclut pas les exploits actifs et n’est donc pas applicable aux tests Intercept X. La capacité d’Intercept X à bloquer l’exploit dépend de l’approche actuelle en matière de dangerosité de celui-ci, que nous ne connaîtrons pas tant qu’un individu ne le détectera pas sur le terrain. Les détections SAV et IPS développées pour les PoC ne garantissent pas l’interception d’attaques réelles et observables dans la nature.
Combien de temps faut-il pour que la détection Sophos soit en place ?
Notre objectif est d’ajouter la détection aux problèmes critiques en fonction du type et de la nature des vulnérabilités, et ce dès que possible. Veuillez noter que certaines détections peuvent ne pas être disponibles en raison de la disponibilité des données.
Il est généralement impossible de faire des tests avec Intercept-X en raison de la nature des données que nous recevons.
Et si la vulnérabilité/zero-day que vous recherchez n’est pas traitée ci-dessus ?
La raison la plus probable est que nous n’avons pas reçu suffisamment d’informations sur la vulnérabilité pour permettre une détection.
Billet inspiré de 16 critical vulnerabilities, some being exploited, fixed in July, 2019 Windows updates, sur le Blog Sophos.