Vulnérabilités critiques de Microsoft

14 janvier 2020 : Microsoft a publié aujourd'hui ses correctifs mensuels, parmi lesquels trois problèmes critiques de gravité 1 nécessitant une attention immédiate. Les entreprises doivent utiliser le processus de gestion des alertes de vulnérabilité pour trier ces alertes et planifier l'application des correctifs au plus vite. Veuillez considérer cet avis de blog spécial de CyberHoot comme une circonstance exceptionnelle et prendre les mesures appropriées au plus vite. Pour mettre les choses en perspective, toutes mes sources en cybersécurité suggèrent la même chose. Les organismes gouvernementaux de surveillance de la cybersécurité, comme la CISA, n'en sont qu'à leur deuxième publication. Directive d'urgence toujours pour ces vulnérabilités.  C'est sérieux.

Systèmes impactés :

Vulnérabilité d'usurpation d'identité CryptoAPI – CVE-2020-0601 : Cette vulnérabilité affecte toutes les machines exécutant des systèmes d’exploitation Windows 32 64 ou 10 bits, y compris les versions Windows Server 2016 et 2019.

Vulnérabilités de la passerelle Bureau à distance Windows et du client Bureau à distance Windows – CVE-2020-0609, CVE-2020-0610 et CVE-2020-0611 : Ces vulnérabilités affectent Windows Server 2012 et versions ultérieures. De plus, CVE-2020-0611 affecte Windows 7 et versions ultérieures. 

IMPACT de la vulnérabilité :

Cette section de l’avis décrit l’impact potentiel si ces vulnérabilités étaient exploitées.

Vulnérabilité d'usurpation d'identité CryptoAPI – CVE-2020-0601 :

• Cette vulnérabilité permet à des logiciels indésirables ou malveillants de se faire passer pour des logiciels légitimes, signés par une organisation fiable. Cela pourrait inciter les utilisateurs à installer des logiciels malveillants apparemment légitimes. Cela pourrait également empêcher les logiciels de protection, tels que les antivirus, de détecter ces installations comme malveillantes. De plus, les navigateurs utilisant Windows CryptoAPI seraient aveugles aux attaques, permettant ainsi à un attaquant de déchiffrer, modifier ou injecter des données dans les connexions utilisateur sans être détecté.

Vulnérabilités de la passerelle Bureau à distance Windows et du client Bureau à distance Windows – CVE-2020-0609, CVE-2020-0610 et CVE-2020-0611 : 

• Ces vulnérabilités permettent l'exécution de code à distance, où du code arbitraire peut être exécuté librement sur la passerelle Web Bureau à distance et sur tout client se connectant à une passerelle malveillante. Les vulnérabilités du serveur ne nécessitent pas d'authentification.ce qui est vraiment mauvais] ou une interaction utilisateur, et peut être exploitée par une requête spécialement conçue. La vulnérabilité du client peut être exploitée en persuadant un utilisateur de se connecter à un serveur malveillant. Combinées, ces vulnérabilités permettent de prendre le contrôle de n'importe quelle passerelle Web Bureau à distance et de la transformer en serveur malveillant, prenant ainsi le contrôle de toutes les machines clientes connectées.Est-ce que j'ai dit que c'était vraiment mauvais ?]

Y a-t-il de bonnes nouvelles?

En fait oui. [ouf!Ces vulnérabilités ont été découvertes et signalées, pour la première fois, par la NSA, directement à Microsoft. Cela signifie que nous disposons d'une fenêtre très étroite pour appliquer ces correctifs sans risque majeur de compromission.

Cependant, une très petite fenêtre de temps Internet peut signifier des jours ou des semaines. 

Pourquoi demandez-vous cela ? 

En analysant les correctifs publiés aujourd'hui par Microsoft, les acteurs malveillants peuvent rapidement identifier le code modifié. Ces correctifs sont une véritable carte au trésor que les pirates peuvent suivre, en modifiant le code source et en les rétroconcevant, jusqu'à trouver la vulnérabilité. Ils peuvent ensuite l'utiliser comme une arme. it En ce moment même, une course est en cours pour identifier et exploiter ces vulnérabilités par les États-nations et les groupes de pirates informatiques. Il reste quelques jours, voire des semaines, avant que ces vulnérabilités ne soient exploitées et ne commencent à exploiter vos systèmes.

Que dois-je faire pour mon entreprise ?

1. Si vous disposez d’un processus de gestion des alertes de vulnérabilité, suivez ses directives pour un ensemble de vulnérabilités de gravité 1.
2. Tant que vous n’avez pas corrigé tous vos systèmes, surveillez les blogs d’actualités sur la cybersécurité pour détecter tout signe de code d’exploitation entrant dans la nature.
3. Si vous n'avez pas de VAMP, rassemblez votre ou vos équipes techniques et élaborez un plan pour corriger tous vos systèmes critiques dans un délai de 10 jours (plus tôt si possible).
4. Pour ceux d'entre vous qui n'ont pas de processus de gestion des correctifs défini, une fois que vous avez terminé cet exercice d'incendie, vous devez inscrivez-vous à CyberHoot, téléchargez notre VAMP et adaptez-le à votre organisation.

Que dois-je faire pour moi-même personnellement ?

Votre numéro de version de Windows peut varier, mais c'est la mise à jour que vous souhaitez - accédez à Paramètres > Mise à jour et sécurité > Windows Update:

Références Articles:

https://cyber.dhs.gov/ed/20-02/ 

https://www.us-cert.gov/ncas/alerts/aa20-014a

Blog d'actualités sur la cybersécurité de Brian Krebs

Blog de cybersécurité Sophos – Vulnérabilités critiques Microsoft : corrigez-les maintenant

Faites-vous suffisamment pour protéger votre entreprise ?

Inscrivez-vous dès aujourd'hui sur CyberHoot et dormez mieux en sachant que votre

les employés sont formés à la cybersécurité et sur leurs gardes !

Inscrivez-vous dès aujourd'hui !