Auteur Sujet: L’essentiel du Patch Tuesday d'avril 2015  (Lu 2191 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 36 392
    • Twitter LaFibre.info
L’essentiel du Patch Tuesday d'avril 2015
« le: 17 avril 2015 à 17:33:48 »
L’essentiel du Patch Tuesday d'avril 2015

C'est un nouveau rendez-vous mensuel, avec l'analyse et les recommandations de Wolfgang Kandek, CTO de Qualys Inc, traduites de l'Anglais par Véronique Loquet.

C'est un mois lourd en correctifs, Microsoft publie 11 patchs pour 26 vulnérabilités. Oracle de son côté corrige 100 vulnérabilités dans plus de 25 catégories de logiciels, tandis que Mozilla, Adobe et Google corrigent les failles 0-day décelées lors du concours Pwn2Own.



Le Patch Tuesday d’avril poursuit la tendance 2015 aux patches d’envergure. En effet, ce mois-ci, Microsoft publie une série de 11 patches pour résoudre 26 vulnérabilités. Ces vulnérabilités affectent Windows et Office tant sur les serveurs que sur les postes de travail. Par ailleurs, Oracle publie sa mise à jour trimestrielle Critical Patch Update qui corrige 100 vulnérabilités dans plus de 25 catégories de logiciels dont Java, le SGBDR Oracle et MySQL.

Ajoutez à cela les correctifs pour les logiciels Adobe, Mozilla et Google Chrome suite aux résultats du concours PWN2OWN à Vancouver, et tout professionnel chargé de protéger la sécurité informatique voit sa charge de travail doubler ce mois-ci.

Commençons par Microsoft : 11 bulletins de MS15-032 à MS15-042 dont quatre sont critiques. Mais les priorités sont claires ce mois-ci :

La priorité Numéro Un est MS15-033, le bulletin pour Office. Il corrige cinq vulnérabilités de type RCE (exécution de code à distance) parmi lesquelles une « Zero Day »,à savoir CVE-2015-1641 qui est actuellement exposée à des attaques limitées dans Word 2010. Cela vaut également pour Word 2007, 2012 et même Word 2011 sur Mac.Microsoft la classe seulement comme « importante » parce que l’exploit oblige l’utilisateur à ouvrir un fichier malveillant. Il s’agit cependant d’une barrière de sécurité très fragile pour la plupart des entreprises dans la mesure où les salariés ont l’habitude d’ouvrir des fichiers Word au format DOCX pour leur travail, format dans lequel ils ont confiance. L’attaquant envoie donc un e-mail contenant le fichier malveillant en pièce jointe ou en lien. Si cet e-mail est correctement formulé, des taux de clic/d’ouverture de plus de 10% sont garantis.

En plus de cette vulnérabilité 0-day, le bulletin corrige deux vulnérabilités « critiques », CVE-2015-1649 et 1651, de type RCE qui sont déclenchées sous Office 2007 et 2010 par la simple consultation d’un e-mail dans le volet d’aperçu d’Outlook. Ce volet qui affiche automatiquement les fichiers RTF a déjà fait l’objet d’attaques 0-day en mars 2014. À l’époque, Microsoft avait fait savoir que EMET permettait de lutter contre les attaques, mais cette fois-ci aucune indication quant à l’efficacité d’EMET.

Notre patch numéro deux est MS15-034, une vulnérabilité de type RCE pour les serveurs.Ce bulletin traite la vulnérabilité CVE-2015-1635 située dans la pile HTTP sur Windows Server 2008 et 2012 et qui touche également Windows 7 et 8. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code sur votre serveur Web IIS via un compte utilisateur IIS. L’attaquant utilise ensuite un exploit pour la deuxième vulnérabilité locale (EoP) pour escalader les privilèges, devenir administrateur et installer un code d’exploit permanent. L’attaque est simple à mener et doit donc être résolue rapidement. Si vous ne pouvez pas la corriger immédiatement, intéressez-vous à la solution de contournement suggérée dans la mise en cache IIS. Il s’agit de la vulnérabilité prioritaire pour votre équipe en charge des serveurs si vous utilisez des serveurs Web Windows sur Internet.

En numéro trois, nous avons APS15-06 pour Adobe Flash. Adobe reconnaît que l’une des vulnérabilités (CVE-2015-3043) est exposée. Accordez une priorité élevée à ce correctif à moins que vous ne travailliez avec Google Chrome ou des versions récentes d’Internet Explorer qui feront automatiquement la mise à jour de Flash.

En numéro quatre, MS15-032, la mise à jour cumulative pour Internet Explorer. Ce mois-ci, elle corrige 10 vulnérabilités dont neuf sont classées critiques. Toutes les versions d’Internet Explorer, de IE6 sous Windows 2003 à IE11 sous Windows 8.1, sont concernées.L’attaquant a besoin que l’utilisateur ouvre une page Web malveillante, ce qu’il obtient généralement en envoyant des liens par e-mail et en prenant le contrôle d’un site Web que l’utilisateur a l’habitude de consulter. La deuxième méthode consiste à collecter les vulnérabilités dans certains CMS courantspour prendre le contrôle de centaines de milliers de serveurs Web, par exemple lors de la campagne SoakSoak (https://blog.sucuri. net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html).

Le dernier bulletin critique est un MS15-035, une vulnérabilité dans le format des graphiques EMF.Là encore, l’attaquant a besoin de l’aide de l’utilisateur pour exécuter l’exploit, ici en l’occurrence via le rendu d’un fichier graphique.Nombreux sont les moyens d’y parvenir : consulter un site Web, ouvrir un e-mail ou consulter un fichier partagé sont autant de vecteurs possibles. Néanmoins, cela limite essentiellement l’exploitation aux ordinateurs de bureau/portables. La vulnérabilité se cantonne également aux anciennes versions de Windows, telles que Windows 7, Vista, Server 2003 et 2008. Les toutes dernières versions de Windows pour poste de travail8 et 8.1 ne sont pas affectées, pas plus que Windows Server 2008R2 et 2012.

Les autres bulletins sont de moindre gravité et traitent des vulnérabilités sous Windows, Sharepoint, .NET et Hyper-V et qui devraient être résolues lors de votre cycle de patch normal.

Oracle a pré-annoncé une importante série de patches dans sa mise à jour Critical Patch Update d’avril 2015. Si vous êtes utilisateur Oracle, sachez que 100 vulnérabilités sont corrigées à l’aide des mises à jour.Il existe une mise à jour critique de Java pour les postes de travail à consulter de toute urgence.Il y a aussi une mise à jour pour Outside-In qui déclenche typiquement une mise à jour d’OWA de Microsoft un mois plus tard. Préparez donc votre équipe chargée des serveurs à mettre à jour leur serveur Exchange.

Lors du concours Pwn2Own organisé à CanSecWest le mois dernier, les chercheurs en sécurité ont testé leurs exploits contre des combinaisons de navigateurs et systèmes d’exploitation courants. Cette fois-ci, toutes les combinaisons (Chrome, Firefox, IE sur Windows et Safari sous OSX) ont été attaquées avec succès et le sponsor de Pwn2Own a remis plus de 500 000 dollars aux gagnants, le vainqueur empochant plus de 120 000 dollars. Les vulnérabilités sont désormais en cours de correction par les propriétaires respectifs des logiciels. Mozilla a publié Firefox 36.0.4 qui corrige à la fois les deux CVE et Google a également publié une nouvelle version de Chrome.

C’est notre première intervention pour ce mois-ci. Restez à l’écoute : nous reviendrons en détail sur les patches pour Oracle. Si vous venez à la Conférence RSA 2015 à San Francisco, passez sur notre stand pour découvrir nos dernières solutions. Vous allez aimer ce que nous avons à vous proposer.


Source : L’essentiel du Patch Tuesday de mars 2015 par Wolfgang Kandek, CTO, Qualys Inc., traduit de l'Anglais par Véronique Loquet.

Polynesia

  • Client Orange Fibre
  • *
  • Messages: 1 001
  • FTTH 100/100 - Alençon (61)
    • Développeur web en devenir (en construction)
L’essentiel du Patch Tuesday d'avril 2015
« Réponse #1 le: 17 avril 2015 à 18:37:15 »
Merci pour ses infos

thenico

  • Expert.
  • Client OVH
  • *
  • Messages: 878
  • FTTH >500 Mb/s et FTTLA 100 Mb/s (13)
L’essentiel du Patch Tuesday d'avril 2015
« Réponse #2 le: 17 avril 2015 à 20:15:54 »
Citer
Notre patch numéro deux est MS15-034, une vulnérabilité de type RCE pour les serveurs.Ce bulletin traite la vulnérabilité CVE-2015-1635 située dans la pile HTTP sur Windows Server 2008 et 2012 et qui touche également Windows 7 et 8. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code sur votre serveur Web IIS via un compte utilisateur IIS.
Non!
La faille est situé au niveau du parsing http.sys c'est à dire d'un driver kernel en ring 0.
A ce niveau, pas besoin d'autre faille, l'attaquant est déjà SYSTEM et peut faire ce qu'il veut.

Optrolight

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 644
  • Grenoble (38) @Optrolight
    • Optroastro
L’essentiel du Patch Tuesday d'avril 2015
« Réponse #3 le: 17 avril 2015 à 20:37:17 »
Heu pour moi qui est eu à faire les maj de windows 7 + office 2013, j'ai eu plus de 1.5Go de maj à faire. J'ai trouver cela énorme !!! Surtout les majs pour office !!!

corrector

  • Invité
L’essentiel du Patch Tuesday d'avril 2015
« Réponse #4 le: 18 avril 2015 à 00:33:08 »
Meuuu

Pourquoi le HTTP est géré au niveau d'un driver?

Paulo31

  • Client Orange Fibre
  • *
  • Messages: 417
  • Balma (31)
L’essentiel du Patch Tuesday d'avril 2015
« Réponse #5 le: 18 avril 2015 à 00:55:27 »
Apparemment pour pouvoir gérer le cache niveau noyau

Citer
Cached responses are served from the kernel. This greatly improves response times and increases the number of requests per second that IIS can serve because requests for cached content never enter IIS user mode.

https://technet.microsoft.com/en-us/library/cc731903%28v=ws.10%29.aspx

Là j'avoue qu'ils ont cherché les ennuis :D

corrector

  • Invité
L’essentiel du Patch Tuesday d'avril 2015
« Réponse #6 le: 18 avril 2015 à 02:07:48 »
Il y a eu aussi eu un HTTPd dans linux, hein...

thenico

  • Expert.
  • Client OVH
  • *
  • Messages: 878
  • FTTH >500 Mb/s et FTTLA 100 Mb/s (13)
L’essentiel du Patch Tuesday d'avril 2015
« Réponse #7 le: 18 avril 2015 à 05:08:11 »
Il y a eu aussi eu un HTTPd dans linux, hein...
Tux n'était pas dans le kernel vanilla ni activé par la plupart des distros.
Ce n'est pas vraiment comparable.

corrector

  • Invité
L’essentiel du Patch Tuesday d'avril 2015
« Réponse #8 le: 18 avril 2015 à 12:02:36 »
Je sais que ça choque beaucoup de gens, mais pour moi un serveur HTTP statique n'est pas vraiment différent d'un serveur NFS.

Et pas franchement plus complexe!

Paulo31

  • Client Orange Fibre
  • *
  • Messages: 417
  • Balma (31)
L’essentiel du Patch Tuesday d'avril 2015
« Réponse #9 le: 18 avril 2015 à 12:23:15 »
Suffisamment pour qu'ils arrivent à se planter :D

 

Mobile View