Multiples vulnérabilités dans les produits Microsoft
Date de publication :
Microsoft a publié un correctif de sécurité (Patch Tuesday) afin de corriger plusieurs vulnérabilités permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. Ces vulnérabilités affectent plusieurs produits, dont :
- Microsoft Windows
- Internet Explorer
- Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
- ASP.NET Core
- .NET Core
- .NET Framework
- OneDrive pour Android
- Microsoft Dynamics
Les vulnérabilités suivantes ont été annoncées comme critiques par Microsoft :
CVE-2020-0601[Score CVSS v3 : 8.1] : Il existe une vulnérabilité quant à la manière dont Windows CryptoAPI (Crypt32.dll) valide les certificats électroniques basés sur les courbes elliptiques (ECC).
Un attaquant pourrait exploiter la vulnérabilité en signant un exécutable malveillant à l’aide d’un certificat de signature de code falsifié. Le fichier semblerait alors provenir d’une source légitime et approuvée. L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semblerait provenir d’un fournisseur approuvé.
Une exploitation réussie pourrait également permettre à l’attaquant de réaliser des attaques « d’homme du milieu » et de déchiffrer des informations confidentielles sur les connexions utilisateur vers le logiciel concerné.
CVE-2020-0609 [Score CVSS v3: 9.8], CVE-2020-0610 [Score CVSS v3: 9.8]: Il existe une vulnérabilité d’exécution de code à distance dans le serveur de passerelle RDP (Remote Desktop Protocol) de Windows quand un attaquant non authentifié se connecte au système cible à l’aide du protocole RDP et envoie des demandes spécialement conçues.
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur le système cible. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.
CVE-2020-0603 [Score CVSS v3 : 8.8] : Il existe une vulnérabilité d’exécution de code à distance dans le logiciel ASP.NET Core quand celui-ci ne parvient pas à traiter les objets en mémoire.
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur la machine de l’utilisateur.
L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée d’ASP.NET Core. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier.
CVE-2020-0605 [Score CVSS v3 : 8.8], CVE-2020-0606 [Score CVSS v3 : 8.8] : Il existe une vulnérabilité d’exécution de code à distance dans le logiciel .NET lorsque celui-ci ne parvient pas à vérifier le balisage source d’un fichier. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur la machine de l’utilisateur.
L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée de .NET. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier.
CVE-2020-0611 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité d’exécution de code à distance dans le client Bureau à distance de Windows quand un utilisateur se connecte à un serveur malveillant. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur l’ordinateur du client qui se connecte. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.
Pour exploiter cette vulnérabilité, un attaquant doit disposer du contrôle d’un serveur, puis convaincre un utilisateur de s’y connecter. Il n’aurait aucun moyen de forcer l’utilisateur à se connecter au serveur malveillant. Il devrait l’inciter à se connecter par le biais d’une technique d’ingénierie sociale, d’empoisonnement DNS ou d’homme du milieu (« man-in-the-middle » (MITM)). L’attaquant pourrait également compromettre un serveur légitime, y héberger du code malveillant, puis attendre que l’utilisateur se connecte.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code à distance
- Fuite d’informations
- Elévation de privilèges
- Déni de service
- Usurpation d’identité
- Contournement de dispositifs de sécurité
Criticité
- Score CVSS v3 : 9.8 au maximum
Existence d’un code d’exploitation
- Un code d'exploitation est disponible pour la CVE-2020-0601
Composants vulnérables
- La liste complète des composants et versions vulnérables pour chaque CVE est disponible ici.
CVE
- CVE-2019-1491
- CVE-2020-0601
- CVE-2020-0602
- CVE-2020-0603
- CVE-2020-0605
- CVE-2020-0606
- CVE-2020-0607
- CVE-2020-0608
- CVE-2020-0609
- CVE-2020-0610
- CVE-2020-0611
- CVE-2020-0612
- CVE-2020-0613
- CVE-2020-0614
- CVE-2020-0615
- CVE-2020-0616
- CVE-2020-0617
- CVE-2020-0620
- CVE-2020-0621
- CVE-2020-0622
- CVE-2020-0623
- CVE-2020-0624
- CVE-2020-0625
- CVE-2020-0626
- CVE-2020-0627
- CVE-2020-0628
- CVE-2020-0629
- CVE-2020-0630
- CVE-2020-0631
- CVE-2020-0632
- CVE-2020-0633
- CVE-2020-0634
- CVE-2020-0635
- CVE-2020-0636
- CVE-2020-0637
- CVE-2020-0638
- CVE-2020-0639
- CVE-2020-0640
- CVE-2020-0641
- CVE-2020-0642
- CVE-2020-0643
- CVE-2020-0644
- CVE-2020-0646
- CVE-2020-0647
- CVE-2020-0650
- CVE-2020-0651
- CVE-2020-0652
- CVE-2020-0653
- CVE-2020-0654
- CVE-2020-0656
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Appliquer les correctifs de sécurité proposés par Microsoft dans son Patch Tuesday de Janvier
Solution de contournement
Pour les vulnérabilités révélées par les CVE-2020-0609 et CVE-2020-0610, l’ANSSI suggère de désactiver le transport UDP pour le service Remote Desktop Gateway :
La désactivation du transport UDP s'applique en passant par les propriétés du serveur RD Gateway :
- Dans l'onglet « Transport Parameters », « UDP transport parameters », décocher la case « enable UDP transport »
- Dans l'onglet « SSL bridging », décocher « utiliser le SSL bridging », décocher la case « HTTPS-HTTP bridging »
Par ailleurs, ce mode de transport est voué à améliorer l'expérience utilisateur en cas d'utilisation d'un réseau de faible capacité, par conséquent, si le besoin n'est pas avéré, il est fortement recommandé de désactiver définitivement ce mode de transport.
Liens
- Bulletin de sécurité Microsoft de janvier 2020
- CVE-2019-1491 | Vulnérabilité de divulgation d’informations dans Microsoft Shar…
- CVE-2020-0601 | Vulnérabilité d’usurpation d’identité dans Windows CryptoAPI
- CVE-2020-0602 | Vulnérabilité de déni de service dans ASP.NET Core
- CVE-2020-0603 | Vulnérabilité d’exécution de code à distance dans ASP.NET Core
- CVE-2020-0605 | Vulnérabilité d'exécution de code à distance dans .NET Framewor…
- CVE-2020-0606 | Vulnérabilité d'exécution de code à distance dans .NET Framewor…
- CVE-2020-0607 | Vulnérabilité de divulgation d’informations dans les composants…
- CVE-2020-0608 | Vulnérabilité de divulgation d’informations dans Win32k
- CVE-2020-0609 | Vulnérabilité d’exécution de code à distance dans le serveur de…
- CVE-2020-0610 | Vulnérabilité d’exécution de code à distance dans le serveur de…
- CVE-2020-0611 | Vulnérabilité d’exécution de code à distance dans le client Bur…
- CVE-2020-0612 | Vulnérabilité de déni de service dans le serveur de passerelle …
- CVE-2020-0613 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0614 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0615 | Vulnérabilité de divulgation d’informations dans le pilote Wind…
- CVE-2020-0616 | Vulnérabilité de déni de service dans Microsoft Windows
- CVE-2020-0617 | Vulnérabilité de déni de service dans Hyper-V
- CVE-2020-0620 | Vulnérabilité d’élévation de privilèges dans Microsoft Cryptogr…
- CVE-2020-0621 | Vulnérabilité de contournement de la fonctionnalité de sécurité…
- CVE-2020-0622 | Vulnérabilité de divulgation d’informations dans le composant M…
- CVE-2020-0623 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0624 | Vulnérabilité d’élévation de privilèges dans Win32k
- CVE-2020-0625 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0626 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0627 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0628 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0629 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0630 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0631 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0632 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0633 | Vulnérabilité d’élévation de privilèges dans l’indexeur de rech…
- CVE-2020-0634 | Vulnérabilité d’élévation de privilèges dans le pilote Windows …
- CVE-2020-0635 | Vulnérabilité d’élévation de privilèges dans Windows
- CVE-2020-0636 | Vulnérabilité d’élévation de privilèges dans le sous-système Wi…
- CVE-2020-0637 | Vulnérabilité de divulgation d’informations dans l’accès Web de…
- CVE-2020-0638 | Vulnérabilité d’élévation de privilèges dans le Gestionnaire de…
- CVE-2020-0639 | Vulnérabilité de divulgation d’informations dans le pilote Wind…
- CVE-2020-0640 | Vulnérabilité d’altération de mémoire dans Internet Explorer
- CVE-2020-0641 | Vulnérabilité d’élévation de privilèges dans Microsoft Windows
- CVE-2020-0642 | Vulnérabilité d’élévation de privilèges dans Win32k
- CVE-2020-0643 | Vulnérabilité de divulgation d’informations dans Windows GDI+
- CVE-2020-0644 | Vulnérabilité d’élévation de privilèges dans Windows
- CVE-2020-0646 | Vulnérabilité d’exécution de code à distance dans .NET Framework
- CVE-2020-0647 | Vulnérabilité d’usurpation d’identité dans Microsoft Office Onl…
- CVE-2020-0650 | Vulnérabilité d’exécution de code à distance dans Microsoft Exc…
- CVE-2020-0651 | Vulnérabilité d’exécution de code à distance dans Microsoft Exc…
- CVE-2020-0652 | Vulnérabilité d’altération de mémoire dans Microsoft Office
- CVE-2020-0653 | Vulnérabilité d’exécution de code à distance dans Microsoft Exc…
- CVE-2020-0654 | Vulnérabilité de contournement de la fonctionnalité de sécurité…
- CVE-2020-0656 | Vulnérabilité de script de site à site dans Microsoft Dynamics …
- Two PoC exploits for CVE-2020-0601 NSACrypto flaw released