Multiples vulnérabilités dans les produits Microsoft

Microsoft a publié un correctif de sécurité (Patch Tuesday) afin de corriger plusieurs vulnérabilités permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. Ces vulnérabilités affectent plusieurs produits, dont :

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
  • ASP.NET Core
  • .NET Core
  • .NET Framework
  • OneDrive pour Android
  • Microsoft Dynamics

Les vulnérabilités suivantes ont été annoncées comme critiques par Microsoft :

CVE-2020-0601[Score CVSS v3 : 8.1] : Il existe une vulnérabilité quant à la manière dont Windows CryptoAPI (Crypt32.dll) valide les certificats électroniques basés sur les courbes elliptiques (ECC).

Un attaquant pourrait exploiter la vulnérabilité en signant un exécutable malveillant à l’aide d’un certificat de signature de code falsifié. Le fichier semblerait alors provenir d’une source légitime et approuvée. L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semblerait provenir d’un fournisseur approuvé.

Une exploitation réussie pourrait également permettre à l’attaquant de réaliser des attaques « d’homme du milieu » et de déchiffrer des informations confidentielles sur les connexions utilisateur vers le logiciel concerné.

CVE-2020-0609 [Score CVSS v3: 9.8], CVE-2020-0610 [Score CVSS v3: 9.8]: Il existe une vulnérabilité d’exécution de code à distance dans le serveur de passerelle RDP (Remote Desktop Protocol) de Windows quand un attaquant non authentifié se connecte au système cible à l’aide du protocole RDP et envoie des demandes spécialement conçues.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur le système cible. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

CVE-2020-0603 [Score CVSS v3 : 8.8] : Il existe une vulnérabilité d’exécution de code à distance dans le logiciel ASP.NET Core quand celui-ci ne parvient pas à traiter les objets en mémoire.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur la machine de l’utilisateur.

L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée d’ASP.NET Core. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier.

CVE-2020-0605 [Score CVSS v3 : 8.8], CVE-2020-0606 [Score CVSS v3 : 8.8] : Il existe une vulnérabilité d’exécution de code à distance dans le logiciel .NET lorsque celui-ci ne parvient pas à vérifier le balisage source d’un fichier. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur la machine de l’utilisateur.

L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée de .NET. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier.

CVE-2020-0611 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité d’exécution de code à distance dans le client Bureau à distance de Windows quand un utilisateur se connecte à un serveur malveillant. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur l’ordinateur du client qui se connecte. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

Pour exploiter cette vulnérabilité, un attaquant doit disposer du contrôle d’un serveur, puis convaincre un utilisateur de s’y connecter. Il n’aurait aucun moyen de forcer l’utilisateur à se connecter au serveur malveillant. Il devrait l’inciter à se connecter par le biais d’une technique d’ingénierie sociale, d’empoisonnement DNS ou d’homme du milieu (« man-in-the-middle » (MITM)). L’attaquant pourrait également compromettre un serveur légitime, y héberger du code malveillant, puis attendre que l’utilisateur se connecte.

Informations
+

Risques

  • Exécution de code à distance
  • Fuite d’informations
  • Elévation de privilèges
  • Déni de service
  • Usurpation d’identité
  • Contournement de dispositifs de sécurité

Criticité

  • Score CVSS v3 : 9.8 au maximum

Existence d’un code d’exploitation

  • Un code d'exploitation est disponible pour la CVE-2020-0601 

Composants vulnérables

  • La liste complète des composants et versions vulnérables pour chaque CVE est disponible ici.

CVE

  • CVE-2019-1491
  • CVE-2020-0601
  • CVE-2020-0602
  • CVE-2020-0603
  • CVE-2020-0605
  • CVE-2020-0606
  • CVE-2020-0607
  • CVE-2020-0608
  • CVE-2020-0609
  • CVE-2020-0610
  • CVE-2020-0611
  • CVE-2020-0612
  • CVE-2020-0613
  • CVE-2020-0614
  • CVE-2020-0615
  • CVE-2020-0616
  • CVE-2020-0617
  • CVE-2020-0620
  • CVE-2020-0621
  • CVE-2020-0622
  • CVE-2020-0623
  • CVE-2020-0624
  • CVE-2020-0625
  • CVE-2020-0626
  • CVE-2020-0627
  • CVE-2020-0628
  • CVE-2020-0629
  • CVE-2020-0630
  • CVE-2020-0631
  • CVE-2020-0632
  • CVE-2020-0633
  • CVE-2020-0634
  • CVE-2020-0635
  • CVE-2020-0636
  • CVE-2020-0637
  • CVE-2020-0638
  • CVE-2020-0639
  • CVE-2020-0640
  • CVE-2020-0641
  • CVE-2020-0642
  • CVE-2020-0643
  • CVE-2020-0644
  • CVE-2020-0646
  • CVE-2020-0647
  • CVE-2020-0650
  • CVE-2020-0651
  • CVE-2020-0652
  • CVE-2020-0653
  • CVE-2020-0654
  • CVE-2020-0656

Recommandations
+

Mise en place de correctifs de sécurité

  • Appliquer les correctifs de sécurité proposés par Microsoft dans son Patch Tuesday de Janvier

Solution de contournement

Pour les vulnérabilités révélées par les CVE-2020-0609 et CVE-2020-0610, l’ANSSI suggère de désactiver le transport UDP pour le service Remote Desktop Gateway :

La désactivation du transport UDP s'applique en passant par les propriétés du serveur RD Gateway :

  • Dans l'onglet « Transport Parameters », « UDP transport parameters », décocher la case « enable UDP transport »
  • Dans l'onglet « SSL bridging », décocher « utiliser le SSL bridging », décocher la case « HTTPS-HTTP bridging » 

Par ailleurs, ce mode de transport est voué à améliorer l'expérience utilisateur en cas d'utilisation d'un réseau de faible capacité, par conséquent, si le besoin n'est pas avéré, il est fortement recommandé de désactiver définitivement ce mode de transport.