Analyse du Patch Tuesday de juillet et recommandations d'Ivanti pour prioriser la correction des vulnérabilités (CVE). Patch Tuesday en juillet 2021 a tout pour plaire.
Avec la récente mise à jour hors bande de PrintNightmare, le processeur Oracle trimestriel à venir, une suite de mises à jour d'Adobe comprenant Acrobat et Reader, Mozilla Firefox et Firefox ESR, et la suite typique de mises à jour mensuelles de Microsoft, Patch Tuesday inclut en juillet beaucoup de sécurité vulnérabilités qui doivent être traitées en priorité.
Vulnérabilité PrintCauchemar
Cela commence par PrintNightmare CVE-2021-34527, qui a été identifié comme une autre vulnérabilité dans le spouleur d'impression après la mise à jour de June Patch Tuesday. Microsoft a rapidement publié des mises à jour de sécurité hors bande pour la plupart des systèmes d'exploitation. Les mises à jour sont disponibles pour Windows 7 et Server 2008/2008 R2 tant que les utilisateurs disposent d'un abonnement à la mise à jour de sécurité étendue (ESU). La société a également fourni un article d'assistance qui explique le fonctionnement des mises à jour et propose des options de configuration supplémentaires. Les organisations qui n'ont pas encore installé la mise à jour hors bande peuvent simplement mettre à jour les mises à jour du système d'exploitation de juillet pour corriger les trois nouvelles vulnérabilités zero-day ainsi que ce CVE.
Microsoft – 100+ CVE
Microsoft a également corrigé 117 CVE individuels en juillet, dont 10 ont été jugés critiques. Parmi eux, trois vulnérabilités zero-day et cinq divulgations publiques. Une petite bonne nouvelle : les trois zero-days et trois des cinq vulnérabilités divulguées publiquement seront corrigées avec la publication des mises à jour du système d'exploitation de juillet. Les mises à jour de ce mois-ci concernent les systèmes d'exploitation Windows, Office 365, Sharepoint, Visual Studio et un certain nombre de modules et de composants (voir les notes de version pour plus de détails).
Priorisation basée sur les risques
Lors de l'examen des vulnérabilités corrigées par les fournisseurs, l'évaluation ne doit pas se limiter à la gravité et au score CVSS. Si les équipes de sécurité informatique ne disposent pas de mesures supplémentaires pour déterminer le risque, il y a de fortes chances qu'elles manquent certaines des mises à jour les plus importantes. Un bon exemple de la façon dont les algorithmes des fournisseurs utilisés pour définir la gravité peuvent donner un faux sentiment de sécurité peut être trouvé dans la liste zero-day de ce mois-ci. Deux des CVE sont considérés comme importants par Microsoft, bien qu'ils aient été activement exploités avant la publication de la mise à jour. Le score CVSSv3 pour le CVE critique est encore plus bas que pour les deux CVE importants. Selon des analystes tels que Gartner, l'adoption d'une approche de gestion des vulnérabilités basée sur les risques peut réduire le nombre de violations de données jusqu'à 80 % par an (Gartner Forecast Analysis : Risk-Based Vulnerability Management 2019).
Vulnérabilités Zero-Day
CVE-2021-31979 est une vulnérabilité d'élévation de privilèges dans le noyau Windows. Cette vulnérabilité a été découverte lors d'attaques "dans la nature". La gravité de Microsoft pour ce CVE est notée Important et le score CVSSv3 est de 7,8. La vulnérabilité affecte Windows 7, Server 2008 et les versions ultérieures du système d'exploitation Windows.
À CVE-2021-33771 Il s'agit d'une vulnérabilité d'élévation de privilèges dans le noyau Windows. Cette vulnérabilité a également été découverte lors d'attaques réelles. La gravité de Microsoft pour ce CVE est notée Important et le score CVSSv3 est de 7,8. La vulnérabilité affecte Windows 8.1, Server 2012 R2 et les versions ultérieures du système d'exploitation Windows.
CVE-2021-34448 est une vulnérabilité de corruption de mémoire dans le moteur de script Windows qui pourrait permettre à un attaquant d'exécuter du code à distance sur le système affecté.
Scénario d'attaque du jour zéro
Dans un scénario d'attaque Web, un attaquant pourrait héberger un site Web contenant un fichier spécialement conçu destiné à exploiter la vulnérabilité. Il en va de même pour un site Web compromis qui accepte ou héberge du contenu fourni par l'utilisateur. Cependant, un attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter le site Web. Au lieu de cela, un attaquant devrait volontairement inciter l'utilisateur à cliquer sur un lien. Cela se fait généralement par e-mail ou messagerie instantanée. Le but est alors de convaincre l'utilisateur d'ouvrir le fichier.
La gravité de Microsoft pour cette CVE est considérée comme critique et le score CVSSv3 est de 6,8. La vulnérabilité affecte Windows 7, Server 2008 et les versions plus récentes du système d'exploitation Windows.
Annoncé publiquement
CVE-2021-33781 vise à contourner les fonctionnalités de sécurité du service Active Directory. Cette vulnérabilité a été révélée publiquement. La gravité de Microsoft pour ce CVE est notée Important et le score CVSSv3 est de 8.1. La vulnérabilité affecte Windows 10, Server 2019 et les versions ultérieures du système d'exploitation Windows.
CVE-2021-33779 est un contournement de fonctionnalité de sécurité dans Windows ADFS Security. Cette vulnérabilité a été révélée publiquement. La gravité de Microsoft pour ce CVE est notée Important et le score CVSSv3 est de 8.1. La vulnérabilité affecte les versions de serveur 2016, 2019, 2004, 20H2 et Core Windows Server.
À CVE-2021-34492 est une vulnérabilité d'usurpation de certificat dans le système d'exploitation Windows. Cette vulnérabilité a également été révélée publiquement. La gravité de Microsoft pour cette CVE est considérée comme importante. Le score CVSSv3 est de 8.1 et affecte Windows 7, Server 2008 et les versions ultérieures du système d'exploitation Windows.
CVE-2021-34473 est une vulnérabilité d'exécution de code à distance dans Microsoft Exchange Server et a été divulguée publiquement. Microsoft classe ce CVE comme critique et le score CVSSv3 est de 9,0. La vulnérabilité affecte Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
CVE-2021-34523 est une vulnérabilité d'élévation de privilèges dans Microsoft Exchange Server. Cette vulnérabilité a été révélée publiquement et a un indice de gravité Important. Le score CVSSv3 est de 9.1. Cela affecte Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
Mises à jour tierces
Oracle publiera sa mise à jour trimestrielle des correctifs critiques ou son processeur le 20 juillet. Il inclura des mises à jour pour Oracle Java SE, MySQL, Fusion Middleware et de nombreux autres produits Oracle. Le processeur contiendra tous les correctifs de sécurité et les détails concernant CVSSv3.1. Cela inclut la complexité de l'attaque et les réponses à la question de savoir si la vulnérabilité peut être exploitée à distance. Des détails sont ajoutés pour comprendre l'urgence des mises à jour.
Adobe a publié des mises à jour pour cinq produits dans le cadre du Patch Tuesday de juillet. Les mises à jour pour Adobe Bridge, Dimension, Illustrator et Framemaker sont classées priorité 3 par Adobe. Chacun corrige au moins un CVE critique.
De nombreuses mises à jour Adobe pour Acrobat et Reader
Lors du classement, Adobe prend en compte à la fois la gravité de la vulnérabilité et la probabilité qu'un attaquant se concentre sur le produit. Adobe Priorité 1 signifie qu'au moins un CVE inclus dans la version est déjà activement exploité. La priorité 3 signifie que le produit est moins susceptible d'être attaqué et qu'il y a peu de vulnérabilités exploitées.
Bien que les quatre mises à jour de produits ne soient pas urgentes, elles doivent être corrigées dans un délai raisonnable. Plus important ce mois-ci est la mise à jour d'Adobe Acrobat et Reader (APSB21-51), qui corrige 19 CVE, dont 14 sont classés critiques. La pertinence définie par Adobe pour cette mise à jour est la priorité 2. Trois des CVE critiques ont été évalués avec un CVSSv3 de 8.8. Cela pourrait permettre l'exécution de code à distance. On ne sait pas encore si l'un des CVE a été exploité. Cependant, Acrobat et Reader sont largement déployés sur les systèmes et intéressent en eux-mêmes les acteurs de la menace.
Mozilla a publié des mises à jour pour Firefox et Firefox ESR qui incluent des correctifs pour 9 CVE. La Fondation classe cinq des CVE comme « à fort impact ». Les équipes de sécurité informatique peuvent trouver plus de détails dans MFSA2021-28.
Recommandations Ivanti pour la hiérarchisation
La plus haute priorité ce mois-ci est la mise à jour du système d'exploitation Windows. Trois autres vulnérabilités zero-day sont corrigées. Pour les entreprises qui n'ont pas encore installé le correctif hors bande PrintNightmare, il s'agirait de quatre vulnérabilités zero-day ainsi que de trois vulnérabilités divulguées publiquement.
Microsoft Exchange a deux vulnérabilités connues publiquement ainsi que CVE-2021-31206, qui s'est fait connaître il y a quelques mois dans le cadre du concours Pwn2Own. Ainsi, bien qu'Exchange ait eu une courte pause après de nombreuses mises à jour au cours des derniers mois, cette vulnérabilité devrait être analysée et corrigée dès que possible.
Les mises à jour tierces pour Adobe Acrobat et Reader et Mozilla Firefox doivent être prioritaires. Les applications PDF et de navigateur sont des cibles faciles pour les attaquants qui exploitent un utilisateur avec des attaques de phishing et d'autres méthodes centrées sur l'utilisateur.
Plus sur Ivanti.com
À propos d'Ivanti La force de l'informatique unifiée. Ivanti connecte l'informatique aux opérations de sécurité de l'entreprise pour mieux gouverner et sécuriser le lieu de travail numérique. Nous identifions les actifs informatiques sur les PC, les appareils mobiles, les infrastructures virtualisées ou dans le centre de données - qu'ils soient sur site ou dans le cloud. Ivanti améliore la prestation de services informatiques et réduit les risques commerciaux grâce à son expertise et à des processus automatisés. En utilisant des technologies modernes dans l'entrepôt et sur l'ensemble de la chaîne d'approvisionnement, Ivanti aide les entreprises à améliorer leur capacité de livraison, sans modifier les systèmes backend.