Février a été un mauvais mois en ce qui concerne les vulnérabilités de sécurité pour les utilisateurs de Windows et de Windows Server, ainsi que pour ceux d’iOS. Plus précisément, les vulnérabilités zero-day qui étaient déjà exploitées avant que les mises à jour de sécurité pour les corriger ne soient disponibles. La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis est maintenant intervenue en ajoutant les trois problèmes de sécurité Microsoft et un Apple Zero Day à la liste. Catalogue des vulnérabilités exploitées connues (KECV).
Pourquoi l’annonce de la CISA est-elle importante ?
Ceci est important car, en vertu de la directive opérationnelle contraignante du gouvernement américain 22-01, les agences civiles fédérales de la branche exécutive ne disposent que de trois semaines pour ajouter une vulnérabilité et s’assurer que leurs systèmes sont corrigés. Cela ne laisse pas tout le monde s’en tirer, car CISA met en garde les utilisateurs qu’il exhorte vivement “toutes les organisations à réduire leur exposition aux cyberattaques en accordant la priorité à la correction rapide des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités”. Vous devriez déjà savoir ce que l’équipe Straight Talking Cyber de Forbes vous conseille sur l’application des mises à jour de sécurité, mais si vous ne le faites pas : mettez à jour maintenant.
Les zero-days Microsoft de février 2023
Au total, trois vulnérabilités zero-day ont été ajoutées au KEVC de CISA, deux affectant directement la plupart des utilisateurs de Windows et de Windows Server et la troisième préoccupant les utilisateurs de Microsoft Office. Ceux-ci ont été détaillés, bien que très peu en termes de détails techniques, dans le cadre de l’annonce du patch de février mardi qui couvrait 76 vulnérabilités de sécurité au total.
CVE-2023-21823 est une vulnérabilité d’exécution de code à distance (RCE) et d’escalade de privilèges (EOP) ; un expert en sécurité décrit cela comme étant relativement simple à exploiter. Pourtant, Microsoft a confirmé qu’en cas de succès, cela pourrait conduire un attaquant à obtenir les privilèges SYSTEM. De plus, pour ajouter plus de confusion au problème, Microsoft indique que la mise à jour est distribuée via le Microsoft Store plutôt que Windows Update. Ce qui pourrait signifier que les utilisateurs qui ont désactivé ces mises à jour devront l’installer manuellement, pour ainsi dire.
CVE-2023-23376 affecte également les utilisateurs de Windows 10 et 11, ainsi que la plupart des versions de Windows Server à partir de 2008, mais il s’agit d’une vulnérabilité EOP. Le troisième zero-day Microsoft ajouté au catalogue CISA est CVE-2023-21715. Cela affecte les utilisateurs de Microsoft Office, une vulnérabilité de Microsoft Publisher qui pourrait contourner le blocage des macros malveillantes.
Le jour zéro iOS de février
En ce qui concerne la vulnérabilité zero-day d’iOS, comme l’écrit ma collègue de Forbes Straight Talking Cyber, Kate O’Flaherty, CVE-2023-23529 est “déjà utilisé dans des attaques réelles”. Cette vulnérabilité de « confusion de type » de WebKit permet à un auteur de menace potentiel d’utiliser un contenu Web malveillant pouvant entraîner l’exécution de code arbitraire sur les appareils concernés. Ces appareils sont des iPhones à partir de l’iPhone 8 et des versions ultérieures, tous les modèles d’iPad Pro, des iPad Air de troisième génération et des iPad de cinquième génération, ainsi que des appareils iPad Mini de cinquième génération.
La correction de ces jours zéro doit être une priorité absolue
“Lorsque CISA ajoute une vulnérabilité à la liste des vulnérabilités exploitées connues, c’est un signal important que la correction de ces CVE spécifiques devrait être une priorité absolue”, a déclaré Tim Mackey, responsable de la stratégie de risque de la chaîne d’approvisionnement logicielle chez Synopsys Software Integrity Group. Mackey a ajouté que cela “devrait être considéré comme un appel à l’action pour toutes les équipes informatiques afin de s’assurer qu’aucun système n’est autorisé sur un réseau qui traite des informations sensibles sans validation que les vulnérabilités sur le KEVC restent non corrigées”.
Ian Thornton-Trump, le responsable de la sécurité de l’information (CISO) chez le fournisseur de renseignements sur les menaces Cyjax, était d’accord lorsque je lui ai parlé ce matin. “Lorsque la CISA met à jour le KEVC, ou comme j’aime l’appeler” le Kev “, tout le monde doit faire attention”, déclare Thornton-Trumps, “cela signifie que les acteurs de la menace utilisent cette vulnérabilité pour pénétrer à l’intérieur des organisations ciblées. “Le Kev” est le plus grand outil légué à la communauté de la sécurité en défense et doit être suivi et actionné immédiatement – c’est la meilleure ressource de renseignement sur les cybermenaces dans le monde réel et fortement contrôlée qui soit.” Cependant, Thornton-Trump ajoute que “tout ce que la CISA lance sur” The Kev “doit être corrigé dès que possible”, car “avant qu’il ne soit publié, il y a probablement plus de quelques jours de décalage entre la découverte, la vérification/l’ingénierie inverse et la notification . Sans parler de tout un tas d’approbations.”
Suivez-moi sur Twitter ou LinkedIn. Vérifier mon site Internet ou certains de mes autres travaux ici.
