Les entreprises doivent continuellement veiller à mettre leurs systèmes informatiques à jour pour limiter les risques de compromission. Surtout ceux tournant sur des systèmes, applications et services Windows comme le montre bien le dernier patch tuesday de Microsoft. La dernière salve de correctifs corrige en effet 74 failles dont sept critiques et une en cours d'exploitation. Identifiée en tant que CVE-2022-26925 et d'un score CVSS de 8.1, cette dernière - classée comme importante - donne la capacité à un utilisateur non authentifié de forcer un contrôleur de domaine à s'authentifier auprès d'un autre serveur à l'aide du protocole d'authentification NTLM, utilisé dans différents services réseau Windows.
A noter que la mise à jour de sécurité proposée par Microsoft détecte les tentatives de connexion anonymes à l'interface Local Security Authority Remote Procedure Call (LSARPC) - utilisée dans des environnements Microsoft/Windows pour effectuer des tâches de gestion sur les politiques de sécurité de domaine à partir d'une machine distante - et les interdit. Le vecteur d'attaque est de type man-in-the-middle, nécessitant pour l'attaquant d'injecter du code malveillant dans le chemin réseau logique entre la cible et la ressource demandée par la victime afin de lire ou de modifier les communications réseau.
Eviter de revivre un scénario d'attaque à la PetitPotam
En plus de ce correctif, Microsoft recommande vivement de se référer aux avis KB5005413 et ADV210003 pour évaluer des mesures supplémentaires à mettre en place pour empêcher les attaques de relais NTLM comme cela avait par exemple été le cas il y a quelques mois avec PetitPotam. « Notez également que ce correctif affecte certaines fonctionnalités de sauvegarde sur Server 2008 SP2. Si vous utilisez ce système d'exploitation, lisez attentivement celui-ci pour vous assurer que vos sauvegardes peuvent toujours être utilisées pour la restauration », ont par ailleurs prévenu les chercheurs en sécurité de la Zero Day Initiative (ZDI).
Non exploitée mais de niveau critique et rendue publique, la faille CVE-2022-29972 (critique) affectant le pilote ODBC Magnitude Simba Amazon Redshift utilisé dans des runtime d'intégration Azure Synapse Pipelines et Azure Data Factory, doit être prise aussi très au sérieux. Elle peut effectivement donner la main à un cyberpirate pour exécuter à distance dans ces environnements des commandes malveillantes. Autres mises à jour à effectuer de failles également critiques : celle présentant un risque d'élévation de privilèges dans des services de domaine Active Directory (CVE-2022-26923) ou encore la CVE-2022-26937 d'un score CVSS plafond (9.8) qui pourrait être exploitée sur le réseau en effectuant un appel non authentifié et ciblant spécifiquement un service NFS (Network File System) pour déclencher une exécution de code malveillant à distance. « NFS n'est pas activé par défaut, mais il est répandu dans les environnements où les systèmes Windows sont mélangés avec d'autres systèmes d'exploitation tels que Linux ou Unix. Si cela correspondant à votre environnement, vous devez absolument tester et déployer ce correctif rapidement. Microsoft note que NFSv4.1 n'est pas exploitable, donc mettez à niveau depuis NFSv2 ou NFSv3 si possible », préviennent aussi les chercheurs de la ZDI.