Crédit : Dreamstime
Nous liquidons rapidement l’année de sécurité de 2022. Seul le temps nous informera ce que 2023 apportera, cependant pour les administrateurs informatiques et de sécurité des réseaux Microsoft, 2022 a été l’année des attaques combinées, des failles Exchange Server sur site et des vulnérabilités nécessitant plus que des correctifs pour être réduites.
Voici un mois -par mois, jetez un coup d’œil à l’année écoulée.
Janvier : un mauvais départ pour les vulnérabilités de Microsoft Exchange Server sur site
Il semble approprié que 2022 ait commencé avec la publication de la vulnérabilité d’exécution de code à distance de Microsoft Exchange Server (CVE-2022-21846). Cela soulève l’inquiétude de toute personne disposant encore d’un serveur Exchange sur site : avez-vous la compétence pour le protéger spécifiquement si vous êtes ciblé ?
Exchange 2019 est la seule variante actuellement prise en charge par le grand public. Si vous utilisez toujours Exchange Server 2013, il atteint la fin de l’assistance le 11 avril 2023. Votre fenêtre de chance pour effectuer un changement simple se ferme. Passez à Exchange en ligne ou Exchange 2019 sur site ou envisagez complètement une plate-forme de messagerie variée.
Février : les vulnérabilités de SharePoint en font une cible
La sécurité Microsoft de février les mises à jour comprenaient CVE-2022-22005, qui corrigeait un problème dans SharePoint Server. Tout au long de l’année, les serveurs SharePoint ont reçu des mises à jour de sécurité.
Toute personne chargée de corriger et de préserver SharePoint doit savoir qu’elle reste également dans le collimateur des attaques ciblées. Les outils de recherche Shodan peuvent être utilisés pour découvrir facilement les applications sensibles sur Internet, alors assurez-vous qu’elles sont corrigées et conservées.
Mars : vous ne pouvez pas constamment compter sur Windows Update pour couvrir
Les problèmes de sécurité de mars nous ont informés que tout le code n’est pas traité via Windows Update. La vulnérabilité d’exécution de code à distance des extensions vidéo HEVC (CVE-2022-22006) a montré que vous deviez également tenir compte de la façon dont vous entretenez les applications sur vos flottes Windows. Si vous aviez désactivé le Microsoft Store, vous devrez peut-être prendre des mesures pour repérer cette vulnérabilité ainsi que d’autres éléments de code comparables.
Avril : les vulnérabilités du spouleur d’impression font à nouveau apparaître leurs têtes disgracieuses
April a montré que nous n’en avions pas fini avec les bogues du spouleur d’impression. PrintNightmare (CVE-2022-26796) figurait parmi les nombreuses vulnérabilités du spouleur d’impression découvertes en 2022. Microsoft et d’autres ont publié des correctifs rapidement, mais ils ne se sont occupés que d’exploits d’exécution de code à distance. Les exploits d’escalade des avantages locaux nécessitent une solution de contournement manuelle, fournie par Microsoft.
Mai : Windows NFS vulnérable à l’exploit d’exécution de code à distance
Code distant du système de fichiers réseau Windows La vulnérabilité d’exécution (CVE-2022-24491/ 24497) a été utilisée ces derniers mois par un logiciel malveillant appelé Cuba Ransomware. La vulnérabilité est exploitable uniquement dans les implémentations de Windows Server avec NFS rendu possible. Passez en revue votre réseau pour les propriétés qui ont été réellement manquées dans les correctifs qui pourraient exposer votre réseau à plus de risques.
Juin : la vulnérabilité d’usurpation LSA met en évidence la nécessité de passer de NTLM
La vulnérabilité d’usurpation d’identité LSA de Windows (CVE-2022-26925) a rendu possible les attaques de relais NT LAN Supervisor (NTLM) et a nécessité que vous preniez des mesures supplémentaires sur vos certificats. Si vous n’avez pas autorisé Extended Defense for Authentication (EPA) et désactivé HTTP sur les serveurs Active Directory Certificate Solutions (ADVERTISEMENT CS), examinez les conseils de l’avis de sécurité Microsoft qui a été lancé à l’époque.
Évaluez votre capacité à s’éloigner de NTLM. Selon votre organisation, vous découvrirez peut-être que vous pouvez maintenant couper rapidement le câble. Malheureusement, vous ne pourrez peut-être pas effectuer la transition jusqu’à ce que des modifications soient apportées à votre réseau. Si vous n’êtes pas sûr de l’effet, prenez le temps en 2023 d’examiner vos choix.
Juin : les dangers rôdent dans les résidus de Web Explorer
Juin a officiellement mis fin à la prise en charge d’Internet Explorer, ce navigateur peu apprécié connu pour ses vulnérabilités et ses faiblesses. Ne vous laissez pas berner en pensant que les parties d’Internet Explorer ne rôdent pas sur votre système et pourraient nécessiter de futures mises à jour. Le code du moteur de navigateur Web Spear est toujours utilisé par SharePoint, par exemple, et vous verrez toujours le code MSHTML être couvert à l’avenir.
Juillet : Exploitation des vulnérabilités zero-day dans Windows CSRSS
Microsoft a publié un blog sur l’utilisation active de nombreux jours sans en plus de la version de juillet de la vulnérabilité d’élévation de l’opportunité du sous-système d’exécution Windows Client Server (CSRSS) (CVE-2022-22047) , que l’organisation Knotweed a ensuite utilisée fin juillet pour acquérir des privilèges système et lancer des attaques. Knotweed est un acteur délictueux du secteur privé (PSOA) utilisant plusieurs exploits Windows et Adobe zero-day dans des attaques ciblées.
Août : 3 nouvelles vulnérabilités Microsoft Exchange Server
Août a de nouveau apporté des bogues Exchange sur la table et trois vulnérabilités ont été corrigées (CVE-2022-21980/ 24516/24477). La réparation de cette série de bogues comprenait également la nécessité d’autoriser la sécurité étendue, une nouvelle innovation qui garantit que les attaques de l’homme du milieu (MitM) sont déviées.
Microsoft a en fait inclus des sécurités supplémentaires au fil des mois dans les scripts de sécurité étendus. Une fois de plus, la simple installation des mises à jour ne suffit pas à vous sécuriser. Vous devez activer la défense étendue à la main pour réduire les vulnérabilités d’août. Réglez le script Exchange Health Checker pour vous assurer que vous avez bien suivi toutes les étapes.
Septembre : Défauts Apple et une vulnérabilité d’exécution de code à distance Windows
Septembre les correctifs ont également mis en évidence les défauts d’Apple. Les problèmes de sécurité avec iOS, iPadOS, macOS et Safari ont été résolus avec les mises à jour. Si vous avez publié des gadgets Apple sur votre réseau, évaluez et recherchez les vulnérabilités.
Septembre a également apporté la vulnérabilité d’exécution de code à distance Windows TCP/IP (CVE-2022-34718), qui ne s’est pas avérée être le bogue vermifuge de Windows qu’on pensait initialement être. Seuls les systèmes avec IPv6 le permettaient et la configuration IPSec était sensible, limitant ainsi la menace.
Octobre : aucun correctif Exchange Server malgré l’utilisation active des vulnérabilités
Octobre a apporté une absence intéressante de spots pour Exchange Server, considérant que 2 bogues Exchange étaient activement exploités à l’époque. Microsoft a fourni des conseils de contournement aux administrateurs pour protéger leurs systèmes. CVE-2022-41033 a corrigé une vulnérabilité du service système Windows COM Event qui, comme de nombreuses autres, est un bogue d’escalade des avantages. Les opposants regroupent ces vulnérabilités avec des incitations d’ingénierie sociale pour accéder aux systèmes.
Novembre : Exchange Server, spouleur d’impression et correctifs et correctifs Kerberos
Novembre a apporté la publication de correctifs Exchange Server pour réparer les vulnérabilités exploitées. Il a également apporté une autre mise à niveau du spouleur d’impression sous la forme de CVE-2022-41073. Novembre a également apporté un correctif hors bande pour les problèmes d’authentification Kerberos présentés par les mises à jour de novembre.
Kerberos est une technologie dont vous voudrez prendre plus de temps pour examiner les répercussions sur votre réseau. Au cours de l’année prochaine, des mises à jour seront publiées pour renforcer et sécuriser davantage votre réseau contre vos attaques.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
