Multiples vulnérabilités dans les produits Microsoft

Date de publication :

Microsoft a publié un correctif de sécurité (Patch Tuesday) afin de corriger plusieurs vulnérabilités permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. Ces vulnérabilités affectent plusieurs produits, dont :

    Microsoft Windows
    Internet Explorer
    Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
    ASP.NET Core
    .NET Core
    .NET Framework
    OneDrive pour Android
    Microsoft Dynamics

Les vulnérabilités suivantes ont été annoncées comme critiques par Microsoft :

CVE-2020-0601[Score CVSS v3 : 8.1] : Il existe une vulnérabilité quant à la manière dont Windows CryptoAPI (Crypt32.dll) valide les certificats électroniques basés sur les courbes elliptiques (ECC).

Un attaquant pourrait exploiter la vulnérabilité en signant un exécutable malveillant à l’aide d’un certificat de signature de code falsifié. Le fichier semblerait alors provenir d’une source légitime et approuvée. L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semblerait provenir d’un fournisseur approuvé.

Une exploitation réussie pourrait également permettre à l’attaquant de réaliser des attaques « d’homme du milieu » et de déchiffrer des informations confidentielles sur les connexions utilisateur vers le logiciel concerné.

CVE-2020-0609 [Score CVSS v3: 9.8], CVE-2020-0610 [Score CVSS v3: 9.8]: Il existe une vulnérabilité d’exécution de code à distance dans le serveur de passerelle RDP (Remote Desktop Protocol) de Windows quand un attaquant non authentifié se connecte au système cible à l’aide du protocole RDP et envoie des demandes spécialement conçues.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur le système cible. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

CVE-2020-0603 [Score CVSS v3 : 8.8] : Il existe une vulnérabilité d’exécution de code à distance dans le logiciel ASP.NET Core quand celui-ci ne parvient pas à traiter les objets en mémoire.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur la machine de l’utilisateur.

L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée d’ASP.NET Core. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier.

CVE-2020-0605 [Score CVSS v3 : 8.8], CVE-2020-0606 [Score CVSS v3 : 8.8] : Il existe une vulnérabilité d’exécution de code à distance dans le logiciel .NET lorsque celui-ci ne parvient pas à vérifier le balisage source d’un fichier. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur la machine de l’utilisateur.

L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée de .NET. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier.

CVE-2020-0611 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité d’exécution de code à distance dans le client Bureau à distance de Windows quand un utilisateur se connecte à un serveur malveillant. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur l’ordinateur du client qui se connecte. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

Pour exploiter cette vulnérabilité, un attaquant doit disposer du contrôle d’un serveur, puis convaincre un utilisateur de s’y connecter. Il n’aurait aucun moyen de forcer l’utilisateur à se connecter au serveur malveillant. Il devrait l’inciter à se connecter par le biais d’une technique d’ingénierie sociale, d’empoisonnement DNS ou d’homme du milieu (« man-in-the-middle » (MITM)). L’attaquant pourrait également compromettre un serveur légitime, y héberger du code malveillant, puis attendre que l’utilisateur se connecte.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code à distance
    Fuite d’informations
    Elévation de privilèges
    Déni de service
    Usurpation d’identité
    Contournement de dispositifs de sécurité

Criticité

    Score CVSS v3 : 9.8 au maximum

Existence d’un code d’exploitation

    Un code d'exploitation est disponible pour la CVE-2020-0601 

Composants vulnérables

    La liste complète des composants et versions vulnérables pour chaque CVE est disponible ici.

CVE

    CVE-2019-1491
    CVE-2020-0601
    CVE-2020-0602
    CVE-2020-0603
    CVE-2020-0605
    CVE-2020-0606
    CVE-2020-0607
    CVE-2020-0608
    CVE-2020-0609
    CVE-2020-0610
    CVE-2020-0611
    CVE-2020-0612
    CVE-2020-0613
    CVE-2020-0614
    CVE-2020-0615
    CVE-2020-0616
    CVE-2020-0617
    CVE-2020-0620
    CVE-2020-0621
    CVE-2020-0622
    CVE-2020-0623
    CVE-2020-0624
    CVE-2020-0625
    CVE-2020-0626
    CVE-2020-0627
    CVE-2020-0628
    CVE-2020-0629
    CVE-2020-0630
    CVE-2020-0631
    CVE-2020-0632
    CVE-2020-0633
    CVE-2020-0634
    CVE-2020-0635
    CVE-2020-0636
    CVE-2020-0637
    CVE-2020-0638
    CVE-2020-0639
    CVE-2020-0640
    CVE-2020-0641
    CVE-2020-0642
    CVE-2020-0643
    CVE-2020-0644
    CVE-2020-0646
    CVE-2020-0647
    CVE-2020-0650
    CVE-2020-0651
    CVE-2020-0652
    CVE-2020-0653
    CVE-2020-0654
    CVE-2020-0656

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Appliquer les correctifs de sécurité proposés par Microsoft dans son Patch Tuesday de Janvier

Solution de contournement

Pour les vulnérabilités révélées par les CVE-2020-0609 et CVE-2020-0610, l’ANSSI suggère de désactiver le transport UDP pour le service Remote Desktop Gateway :

La désactivation du transport UDP s'applique en passant par les propriétés du serveur RD Gateway :

  • Dans l'onglet « Transport Parameters », « UDP transport parameters », décocher la case « enable UDP transport »
  • Dans l'onglet « SSL bridging », décocher « utiliser le SSL bridging », décocher la case « HTTPS-HTTP bridging » 

Par ailleurs, ce mode de transport est voué à améliorer l'expérience utilisateur en cas d'utilisation d'un réseau de faible capacité, par conséquent, si le besoin n'est pas avéré, il est fortement recommandé de désactiver définitivement ce mode de transport.

Liens