Le deuxième mardi du mois est passé. Microsoft a ainsi livré ses derniers correctifs mensuels de sécurité pour ses produits. Selon le décompte de la société de cybersécurité Tenable, le total atteint 84 vulnérabilités de sécurité, dont 13 vulnérabilités d’un niveau de dangerosité critique.
Tenable attire l’attention sur la correction de la vulnérabilité CVE-2022-41033 pour laquelle Microsoft a signalé une exploitation dans la nature. Elle affecte le service de système d’événements COM+ de Windows. » Un attaquant ayant réussi à exploiter cette vulnérabilité pourrait obtenir des privilèges système « , prévient Microsoft.
Il ne s’agit cependant pas d’une vulnérabilité critique. Elle est donc de type élévation de privilèges avec un vecteur d’attaque local et pas de type exécution de code arbitraire à distance. Elle nécessite qu’un attaquant accède au système par d’autres moyens. Pour autant, Tenable souligne qu’il s’agit d’un outil supplémentaire à la disposition d’attaquants pouvant être associé à d’autres vulnérabilités.
Pas de patch pour les vulnérabilités ProxyNotShell
La grande question de ce Patch Tuesday d’octobre était toutefois de savoir si Microsoft allait profiter de l’occasion pour publier des correctifs en bonne et due forme afin de combler les vulnérabilités CVE-2022-41040 et CVE-2022-41082. Autrement connues en tant que ProxyNotShell, elles concernent Microsoft Exchange Server 2013, 2106 et 2019.
La première est une vulnérabilité de type SSRF (Server-Side Request Forgery ; injection de requêtes forgées côté serveur) et la deuxième permet une exécution de code à distance lorsque PowerShell est accessible à l’attaquant. Fin septembre, il a été signalé des attaques actives et ciblées qui exploitent les deux vulnérabilités.
Le Patch Tuesday du mois d’octobre n’apporte aucun correctif pour ces deux vulnérabilités de sécurité qui ont fait l’objet d’une divulgation. Par ailleurs, le CERT-FR de l’Anssi indique dans un bulletin d’alerte avoir connaissance d’incidents de sécurité en France qui impliquent l’exploitation des vulnérabilités.
Désactiver l’accès à PowerShell à distance
D’après Microsoft, les deux vulnérabilités ne sont exploitables que si l’attaquant est déjà authentifié. En l’état, le groupe de Redmond (tout comme l’Anssi) recommande d’appliquer les mesures d’atténuation proposées. Elles sont détaillées dans ce billet de blog de Microsoft ou dans le bulletin d’alerte du CERT-FR.
Un élément phare des mesures provisoires de contournement est la désactivation de l’accès à PowerShell à distance pour les utilisateurs qui ne sont pas administrateurs.
» Nous publierons des mises à jour pour les vulnérabilités CVE-2022-41040 et CVE-2022-41082 lorsqu’elles seront prêtes « , indique Microsoft. Il ne devrait donc pas falloir attendre le Patch Tuesday de novembre… A priori, ce sera une publication en urgence (hors cycle). Il y aurait environ 220 000 serveurs vulnérables dans le monde.