Microsoft, Adobeet Google ont tous publié aujourd’hui des mises à jour de sécurité pour leurs produits. Les correctifs Microsoft incluent six failles de sécurité précédemment divulguées, et une qui est déjà activement exploitée. Mais le Patch Tuesday de ce mois-ci est éclipsé par le «Log4Shell” Exploit 0-day dans un populaire Java bibliothèque que les administrateurs de serveurs Web s’efforcent maintenant de trouver et de corriger au milieu d’une exploitation généralisée de la faille.
Log4Shell est le nom choisi pour une faille critique révélée le 9 décembre dans la bibliothèque de journalisation populaire pour Java appelée « log4j”, qui est inclus dans un grand nombre d’applications Java. Le code d’exploitation publié publiquement permet à un attaquant de forcer un serveur exécutant une bibliothèque log4j vulnérable à exécuter des commandes, telles que le téléchargement de logiciels malveillants ou l’ouverture d’une connexion de porte dérobée au serveur.
Selon des chercheurs de Lunasecde très nombreux services sont vulnérables à cet exploit.
« Les services cloud comme Steam, Apple iCloud et des applications comme Minecraft se sont déjà avérés vulnérables », Lunasec a écrit. « Quiconque utilise Apache Struts est probablement vulnérable. Nous avons déjà vu des vulnérabilités similaires exploitées dans des violations telles que la violation de données d’Equifax en 2017. Une longue liste de réponses des organisations concernées a été compilée ici.”
« Si vous utilisez un serveur basé sur un logiciel open source, il y a de fortes chances que vous soyez affecté par cette vulnérabilité », a déclaré Dustin Childs de l’initiative Zero Day de Trend Micro. « Vérifiez auprès de tous les fournisseurs de votre entreprise pour voir s’ils sont concernés et quels correctifs sont disponibles. »
Une partie de la difficulté à corriger l’attaque Log4Shell consiste à identifier toutes les applications Web vulnérables, a déclaré Johannes Ullrichgestionnaire d’incidents et blogueur pour le Centre de tempête Internet SANS. « Log4Shell continuera de nous hanter pendant des années. Traiter avec log4shell sera un marathon », a déclaré Ullrich. « Traitez-le comme tel. » SANS a une bonne marche à suivre à quel point l’exploit peut être simple mais puissant.
Jean Hultquistvice-président de l’analyse du renseignement chez Mandianta déclaré que la société a vu des acteurs étatiques chinois et iraniens tirer parti de la vulnérabilité log4j, et que les acteurs iraniens sont particulièrement agressifs, ayant pris part à des opérations de ransomware qui peuvent être principalement menées à des fins perturbatrices plutôt qu’à des fins financières.
« Nous prévoyons que d’autres acteurs étatiques le font également ou s’y préparent », a déclaré Hultquist. «Nous pensons que ces acteurs travailleront rapidement pour créer des points d’ancrage dans les réseaux souhaitables pour une activité de suivi, qui peut durer un certain temps. Dans certains cas, ils travailleront à partir d’une liste de souhaits de cibles qui existaient bien avant que cette vulnérabilité ne soit connue du public. Dans d’autres cas, des cibles souhaitables peuvent être sélectionnées après un ciblage large.
Chercheur Kévin Beaumont avait une vision plus légère de Log4Shell par Twitter:
« Fondamentalement, la fin parfaite de la cybersécurité en 2021 est une vulnérabilité Java de style années 90 dans un module open source, écrite par deux volontaires sans financement, utilisée par de grands fournisseurs de cybersécurité, non détectée jusqu’à ce que le chat Minecraft soit bloqué, où personne ne sait comment répondre correctement. ”
le Agence de cybersécurité et de sécurité des infrastructures (CISA) s’est associé au FBI, Agence de Sécurité Nationale (NSA) et partenaires à l’étranger dans l’édition un avis pour aider les organisations à atténuer Log4Shell et d’autres vulnérabilités liées à Log4j.
Une demi-douzaine des vulnérabilités traitées par Microsoft aujourd’hui ont obtenu sa note « critique » la plus grave, ce qui signifie que des logiciels malveillants ou des malfaiteurs pourraient exploiter les failles pour obtenir un contrôle complet et à distance sur un système Windows vulnérable avec peu ou pas d’aide des utilisateurs.
La faille de Windows qui voit déjà une exploitation active est CVE-2021-43890qui est un bogue « usurpation » dans le Programme d’installation de Windows AppX au Windows 10. Microsoft dit être au courant des tentatives d’exploitation de cette faille à l’aide de packages spécialement conçus pour implanter des familles de logiciels malveillants comme Emotet, Trickbot et BazaLoader.
Kévin Breendirecteur de la recherche sur les menaces pour Immersive Labs, a déclaré CVE-2021-43905 se démarque du lot de patchs de ce mois-ci.
« Non seulement pour son haut Note CVSS de 9,6, mais aussi parce qu’il est noté comme « l’exploitation est plus probable » », a observé Breen.
Microsoft a également corrigé CVE-2021-43883une vulnérabilité d’élévation des privilèges dans Windows Installer.
« Cela semble être un correctif pour un contournement de patch de CVE-2021-41379une autre vulnérabilité d’élévation des privilèges dans Windows Installer qui aurait été corrigée en novembre », Satnam Narang de Tenable souligne. « Cependant, les chercheurs ont découvert que le correctif était incomplet et une preuve de concept a été rendue publique à la fin du mois dernier. »
Google a publié cinq correctifs de sécurité pour Chrome, dont un classé critique et trois autres de sévérité élevée. Si vous naviguez avec Chrome, surveillez l’apparition d’un onglet « Mise à jour » à droite de la barre d’adresse. Si cela fait un moment que vous n’avez pas fermé le navigateur, vous verrez peut-être le bouton Mettre à jour passer du vert à l’orange puis au rouge. Le vert signifie qu’une mise à jour est disponible depuis deux jours ; orange signifie que quatre jours se sont écoulés et rouge signifie que votre navigateur a une semaine ou plus de retard sur les mises à jour importantes. Fermez complètement et redémarrez le navigateur pour installer les mises à jour en attente.
En outre, Adobe a publié des correctifs pour corriger plus de 60 failles de sécurité dans une multitude de produits, notamment Adobe Audition, Lightroom, Media Encoder, Premiere Pro, Prelude, Dimension, After Effects, Photoshop, Connect, Experience Manager et Premiere Rush.
Clause de non-responsabilité standard : avant de mettre à jour Windows, s’il te plaît assurez-vous d’avoir sauvegardé votre système et/ou vos fichiers importants. Il n’est pas rare qu’un package de mise à jour Windows étouffe son système ou l’empêche de démarrer correctement, et certaines mises à jour sont connues pour effacer ou corrompre des fichiers.
Alors rendez-vous service et sauvegardez avant d’installer des correctifs. Windows 10 a même quelques outils intégrés pour vous aider à le faire, soit par fichier/dossier, soit en créant une copie complète et amorçable de votre disque dur en une seule fois.
Et si vous souhaitez vous assurer que Windows a été configuré pour suspendre la mise à jour afin de pouvoir sauvegarder vos fichiers et/ou votre système avant que le système d’exploitation ne décide de redémarrer et d’installer les correctifs selon son propre calendrier, voir ce guide.
Si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, veuillez envisager de laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et puissent apporter ici des conseils utiles.
Lecture complémentaire :
Liste SANS ISC de chaque vulnérabilité Microsoft corrigée aujourd’hui, indexée par gravité et composant affecté.