Auteur Sujet: L’essentiel du Patch Tuesday de novembre 2016  (Lu 663 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 36 392
    • Twitter LaFibre.info
L’essentiel du Patch Tuesday de novembre 2016
« le: 09 novembre 2016 à 18:08:34 »
L’essentiel du Patch Tuesday de novembre 2016

Voici l'analyse et les recommandations de Amol Sarwate, directeur du laboratoire de vulnérabilité de Qualys, traduites de l'Anglais par Véronique Loquet.

14 bulletins pour Microsoft, parmi lesquels une priorité absolue sur un 0-Day activement exploité et divulgué par Google.



Microsoft corrige une vulnérabilité activement exploitée au sein du noyau et de la police OpenType, ainsi que trois failles de navigateur déjà divulguées et une vulnérabilité dans SQL Server

Microsoft vient de publier 14 bulletins de sécurité avec 6 correctifs de sécurité critiques et 8 importants. L'éditeur a corrigé la vulnérabilité 0-Day CVE-2016-7255 dans le bulletin MS16-135 qui était activement exploitée et avait été divulguée il y a quelques jours par Google sur son blog consacré aux divulgations . Vu le contexte, cette vulnérabilité doit être une priorité absolue pour les entreprises.

La vulnérabilité CVE-2016-7256 au sein de la police OpenType fait également partie du bulletin Microsoft MS16-132 car elle aussi est activement exploitée. Permettant à des attaquants de prendre le contrôle total de la machine d'un utilisateur consultant une page Web malveillante, cette vulnérabilité doit donc aussi être considérée comme critique.

Enfin, trois vulnérabilités supplèmentaires divulguées avant la disponibilité des patchs ont également été résolues. Affectant les navigateurs IE et Edge, ces trois problèmes ont été respectivement résolus dans les bulletins MS16-142 et MS16-129 (CVE-2016-7227 pour IE et CVE-2016-7199 et CVE-2016-7209 pour Edge). Rien n'indique pour l'instant que ces trois failles déjà divulguées soient activement exploitées.

Le bulletin Microsoft Office MS16-133 contient des correctifs pour 10 vulnérabilités pouvant permettre à des attaquants de prendre le contrôle total d'un système. En plus de ces 10 correctifs, une divulgation d'information ainsi qu'une attaque de type DoS (Denial of Service) pouvant entraîner un crash sont à présent résolues. Les documents Office étant légion dans un environnement d'entreprise classique, j'estime que ce bulletin devrait être une priorité critique même s'il est classé comme « Important ».

Trois bulletins critiques concernent Windows, à savoir MS16-130, MS16-131 et MS16-132.

- Le bulletin MS16-130 résout des problèmes au sein du Planificateur de tâches de Windows ainsi qu'un problème de chargement de la DLL dans l'éditeur IME (Input Method Editor) et de rendu de fichier image. Le rendu du fichier image est le problème le plus critique car il permet à des attaquants de prendre le plein contrôle de la machine ciblée.

- Le bulletin MS16-131 résout un problème au sein du contrôle vidéo permettant lui aussi à des attaquants de prendre le contrôle de la machine d'un utilisateur qu'ils auraient convaincu d'ouvrir un fichier malveillant ou une application depuis une page Web ou un message électronique.

- Quant au bulletin MS16-132, il corrige une vulnérabilité dans une police OpenType exploitable en consultant une page Web malveillante ou en ouvrant un document mal formaté.

Les administrateurs Microsoft SQL Server devraient s'intéresser au bulletin MS16-136 qui corrige 6 vulnérabilités au sein du serveur de base de données, de l'API MDS, des services d'analyse SQL et de l'agent SQL Server. Les vulnérabilités concernant le serveur SQL sont relativement rares et même en l'absence d'exécution de code à distance (RCE), les attaquants peuvent obtenir des privilèges élevés pour visualiser, modifier, voire supprimer des données et créer de nouveaux comptes.

En résumé, la vulnérabilité activement exploitée affectant le noyau et la police OpenType, les trois autres failles de navigateur déjà divulguées et le patch pour SQL Server, marquent ce mois de novembre d'une pierre blanche.


Source : L’essentiel du Patch Tuesday de novembre 2016 par Amol Sarwate, directeur du laboratoire de vulnérabilité de Qualys, traduit de l'Anglais par Véronique Loquet.


Nh3xus

  • Réseau Deux Sarres (57)
  • Client K-Net
  • *
  • Messages: 2 639
  • Sarrebourg (57)
L’essentiel du Patch Tuesday de novembre 2016
« Réponse #1 le: 09 novembre 2016 à 20:42:49 »
Windows 7 commence à recevoir les nouveaux packages de mises à jours dites, différentielles aka Monthly Quality Rollup.

vivien

  • Administrateur
  • *
  • Messages: 36 392
    • Twitter LaFibre.info
L’essentiel du Patch Tuesday de novembre 2016
« Réponse #2 le: 10 novembre 2016 à 13:40:11 »
A noter que le patch Tuesday corrige la faille révélée par Google fin Octobre (dans le but de mettre la pression sur Microsoft pour une correction immédiate, sans attendre la patch Tuesday).

Google révèle les détails d'une faille critique dans Windows, Microsoft n'apprécie pas

Dans un billet publié lundi, Google a dévoilé en partie les détails d’une faille critique dans Windows. Problème, cette publication s’est fait dix jours seulement après que Microsoft a été averti. L’éditeur de Windows a d’ailleurs critiqué le calendrier.

Google ne masque pas le fait que le temps de réaction laissé à Microsoft est assez court. Le billet indique que le père de Windows a été averti le 21 octobre, en même temps qu’Adobe. La faille du système ne peut être exploitée en effet qu’en utilisant une autre vulnérabilité, cette fois dans Flash. Cette dernière est bouchée et le correctif est disponible dans l’outil de mise à jour intégré dans le lecteur, ou via Chrome, qui a lui aussi reçu une nouvelle version.

La faille dans Windows n’est cependant pas corrigée, le délai de dix jours semblant assez court, surtout au vu de l’absence de détails supplèmentaires. Google a d’ailleurs été obligé de rappeler la politique mise en place il y a trois ans, selon laquelle toute faille critique signalée depuis sept jours verrait ses informations publiées. Cependant, Google se justifie : non seulement Microsoft n’a pas publié de bulletin d’information à ce sujet, mais la faille est en fait déjà exploitée.


Une faille qui permet de s'extirper de la sandbox

Elle permet une escalade locale des privilèges au sein du noyau de Windows (toutes les versions sont touchées), avec pour principal intérêt de pouvoir s’échapper de la sandbox du système. Pour rappel, une sandbox – littéralement « bac à sable » - est un espace mémoire isolé au sein duquel un programme ou une page web est lancé. Ses accès sont limités et soigneusement contrôlés, permettant notamment de bloquer toute tentative de s’en prendre à un autre programme ou composant système. Pouvoir s’en échapper représente donc un vrai problème.

Plus précisèment, la faille peut être appelée via la fonction NtSetWindowLongPtr() de win32k.sys. Dans le cas de Chrome, les appels système de win32k.sys sont bloqués en utilisant une technique disponible dans Windows 10, « win32 lockdown ». Cela, ajouté à la faille corrigée dans Flash, rend normalement toute exploitation impossible pour les utilisateurs de Chrome. Raison sans doute qui permet à Google d’évoquer la faille en « toute sécurité ».


Microsoft accuse Google de mettre les utilisateurs en danger

Microsoft, de son côté, n’est clairement pas ravi de la situation. L’éditeur a d’abord indiqué à VentureBeat que « la divulgation d’aujourd’hui met les utilisateurs en danger ». Ce qui est effectivement le cas : même si la faille est activement exploitée, les pirates qui ne connaissaient pas la brèche risquent fort de s’y pencher. D’un autre côté, tant que la faille dans Flash est bien colmatée, celle de Windows est en théorie inexploitable.

En outre, le responsable Terry Myerson, de chez Microsoft, a publié hier un billet donnant des informations sur la manière dont la faille Windows est actuellement utilisée. C’est à un groupe russe nommé Strontium (également appelé Fancy Bear) que l’on doit la campagne d’attaques qui l’accompagne. Cette dernière aboutit à l’installation d’une porte dérobée ouvrant alors de nombreuses possibilités.

On apprend également qu’une enquête a été ouverte conjointement avec Adobe et Google pour cerner de plus près l’exploitation et ses conséquences. Le correctif existe en fait déjà, mais est actuellement en cours de test chez les partenaires pour vérifier son fonctionnement. Voilà pourquoi il ne sera pas disponible avant le 8 novembre, date du prochain Patch Tuesday. Enfin, et c’est un point important, Myerson précise que si les utilisateurs ont activé l’Advanced Threat Protection dans Windows Defender (« Protection dans le cloud »), l’attaque sera détectée et bloquée, mais uniquement sous Windows 10.


Divulgation discrète ou de motivation

La publication du billet de Google relance cependant le débat sur les divulgations des détails sur les failles de sécurité. Ceux pointés par Google ne sont pas suffisants pour représenter une vraie marche à suivre, mais sont tout de même un indice clair sur la direction à suivre.

Microsoft a rappelé préférer les divulgations responsables d’informations, surtout quand ils ont trait à des failles jugées critiques puisque exploitables à distance. Par « responsables », l’éditeur entend tout simplement que ces informations resteront masquées tant que le correctif idoine n’aura pas été publié.


Source : NextINpact, le 2 novembre 2016 par Vincent Hermann

 

Mobile View