Patch Tuesday d’avril : une faille déjà utilisé avec un ransomware

Une vulnérabilité exploitée des attaques débouchant sur le ransomware Nokoyawa

Une vulnérabilité Windows inédite, affectant les systèmes Windows pour poste de travail comme pour serveur, y compris Windows Server 2008/2008 R2, devrait être traité rapidement par les administrateurs. 

La vulnérabilité référencée CVE-2023-28252 est une vulnérabilité d'élévation de privilèges du pilote du système de fichiers de journalisation commun (CLFS) de Windows, classée importante. 

Un attaquant n'a pas besoin d'une interaction avec l'utilisateur pour tirer parti de ce bogue, mais seulement d'une authentification réseau. Si l'attaquant exploite la vulnérabilité, il peut obtenir des privilèges de niveau système sur la machine, ce qui lui donnerait un accès étendu à l'infrastructure de l'organisation affectée. 

Kaspersky indique avoir commencé à en observer l’exploitation en février 2023, dans le cadre d’une cyberattaque ayant débouché sur le déploiement du ransomware Nokoyama. L’éditeur relève que le groupe impliqué « est remarquable pour son utilisation d’un grand nombre d’exploits sur le pilote CLFS similaires mais uniques, qui ont été probablement développés par le même auteur ». 

Le retour d’une vulnérabilité vieille de 10 ans

Un bogue datant de 2013 est réapparu dans les mises à jour de sécurité de Microsoft en janvier et à nouveau ce mois-ci, ce qui obligera les administrateurs à procéder à des ajustements manuels s'ils décident de mettre en œuvre le correctif.

La vulnérabilité WinVerifyTrust Signature Validation (CVE-2013-3900), classée importante, affecte Windows pour postes de travail et serveurs. Microsoft a initialement levé le voile sur cette vulnérabilité le 10 décembre 2013. 

Microsoft a informé ses clients en janvier des étapes nécessaires pour atténuer cette vulnérabilité pour les systèmes Windows supporté et a ensuite publié une mise à jour pour le Patch Tuesday d'avril qui a ajouté plusieurs installations Server Core à la liste des produits affectés. 

Si l'administrateur applique le correctif via un paramètre du registre Windows, cela permettra une vérification plus stricte de la signature Authenticode pour un examen plus approfondi des signatures numériques dans les applications.

Chris Goettl, vice-président d'Ivanti chargé de la gestion des produits de sécurité, considère que Microsoft avait rendu la correction facultative parce que cette protection renforcée pouvait augmenter le nombre de faux positifs signalés : « il pourrait y avoir des cas limites où l'on pourrait en abuser dans certains environnements, mais le risque est faible, sinon Microsoft aurait pris des mesures plus énergiques il y a quelque temps », estime-t-il.

Un autre correctif du passé se matérialise

Microsoft a intégré une mise à au Patch Tuesday d'avril afin de corriger une faille d'exécution de code à distance curl (CVE-2022-43552), signalée pour la première fois le 9 février. 

Le bogue dans l'outil open-source affecte plusieurs produits Microsoft, y compris Windows poste de travail et serveur Windows, ainsi que la version 2.0 de CBL-Mariner, un système d'exploitation Linux utilisé dans les produits cloud et de périphérie de Microsoft. 

Lors du Patch Tuesday de mars, Microsoft avait indiqué qu'un correctif était en cours de développement et qu'il avait trouvé d'autres produits affectés qui utilisent l'outil de transfert de données. 

La version 7.87.0 de Curl corrige la vulnérabilité. Après avoir appliqué le correctif sur les systèmes Windows, les administrateurs doivent annuler les mesures d'atténuation qui bloquaient l'exécution de curl pour pouvoir utiliser à nouveau l'outil. 

Le correctif pour les contrôleurs de domaine Windows est retardé

Les administrateurs qui s'attendaient à un correctif pour une vulnérabilité d'élévation de privilèges de Windows Kerberos ont plus de temps pour préparer les changements à apporter à leurs contrôleurs de domaine.

Microsoft avait initialement prévu de mettre en œuvre la troisième phase de déploiement de ses modifications du protocole Kerberos en plusieurs étapes le 11 avril. 

Le Centre de messages Windows indique toujours la date de déploiement initiale, mais une mise à jour de l'article KB5020805 de la base de connaissances indique que le changement a été reporté au 13 juin. Microsoft n'a pas révélé la raison de ce retard. 

Les modifications apportées à Kerberos découlent de la vulnérabilité CVE-2022-37967 divulguée pour la première fois le 8 novembre 2022.

La troisième phase de cette procédure de renforcement de la sécurité ne permettra pas de désactiver les signatures des certificats d'attributs privilégiés. 

Les administrateurs ont maintenant jusqu'au 10 octobre pour que Microsoft mette en œuvre ce qu'il appelle la « phase d'application complète » afin d'atténuer totalement le problème en bloquant les connexions vulnérables provenant d'appareils non conformes.