La très mauvaise année de Microsoft pour la sécurité : une chronologie

Jusqu’à présent, 2021 s’est avéré être en quelque sorte une annus horribilis de sécurité pour le géant de la technologie Microsoft, avec de nombreuses vulnérabilités affectant plusieurs de ses principaux services, notamment Active Directory, Exchange et Azure.

Microsoft n’est pas étranger à être la cible d’attaquants cherchant à exploiter des vulnérabilités connues et zero-day, mais le taux et l’ampleur des incidents auxquels il a été confronté depuis début mars ont mis le géant de la technologie sur le dos pendant au moins un instant ou deux.

Ce qui suit est une chronologie des événements de sécurité importants qui ont affligé Microsoft en 2021, pourquoi il reste vulnérable à de graves vulnérabilités et attaques, et une évaluation de sa réponse selon des experts du secteur de la cybersécurité.

2 mars : vulnérabilité de Microsoft Exchange Server

Le premier incident de sécurité notable s’est produit en mars, lorsque Microsoft a annoncé la vulnérabilité CVE-2021-26855 dans son Exchange Server. La vulnérabilité était exécutable à distance et exploitable au niveau du protocole sur un ou plusieurs routeurs.

Bien qu’il ait classé la complexité des attaques comme faible, Microsoft a déclaré que CVE-2021-26855 était activement exploité et que les attaquants n’avaient pas besoin d’autorisations ou d’accès aux fichiers/paramètres.

De plus, la vulnérabilité pourrait être exploitée sans aucune interaction de la part d’un utilisateur et entraîner à la fois une perte totale de confidentialité et de protection.

Sur sa page de mise à jour des vulnérabilités, Microsoft a écrit : « Cette vulnérabilité fait partie d’une chaîne d’attaque. L’attaque initiale nécessite la capacité d’établir une connexion non approuvée sur le port du serveur Exchange 443. Cela peut être protégé en limitant les connexions non approuvées ou en configurant un VPN pour séparer le serveur Exchange de l’accès externe. »

Cependant, cela ne protégerait que la partie initiale de l’attaque et d’autres parties de la chaîne peuvent être déclenchées si un attaquant a déjà accès ou peut convaincre un administrateur d’ouvrir un fichier malveillant, a-t-il ajouté. Microsoft a publié et conseillé d’installer d’urgence les mises à jour sur les serveurs Exchange externes.

8 juin : Microsoft corrige six vulnérabilités de sécurité zero-day

Microsoft a publié des correctifs pour les problèmes de sécurité affectant divers services Windows, avec six vulnérabilités graves déjà activement ciblées par les attaquants. Comme rapporté par le chercheur en sécurité Brian Krebs, les six jours zéro étaient :

• CVE-2021-33742 : Un bogue d’exécution de code à distance dans un composant HTML de Windows
• CVE-2021-31955 : un bogue de divulgation d’informations dans le noyau Windows
• CVE-2021-31956 : Une faille d’élévation de privilèges dans Windows NTFS
• CVE-2021-33739 : faille d’élévation des privilèges dans le gestionnaire de fenêtres Microsoft Desktop
• CVE-2021-31201 : faille d’élévation des privilèges dans le fournisseur de chiffrement amélioré Microsoft
• CVE-2021-31199 : faille d’élévation des privilèges dans le fournisseur de chiffrement amélioré Microsoft

1 juillet : vulnérabilité du spouleur d’impression Windows

Des attaquants ont été détectés en exploitant une vulnérabilité dans le service Windows Print Spooler de Microsoft, baptisée PrintNightmare. La vulnérabilité d’exécution de code à distance, CVE-2021-34527 , impliquait des opérations de fichiers privilégiés inappropriées dans le service et était exploitable avec les capacités utilisateur de base et ne nécessitait aucune interaction de l’utilisateur.

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec des droits d’utilisateur complets », a écrit Microsoft.

Les mesures d’atténuation conseillées comprenaient l’installation immédiate des mises à jour de sécurité, ainsi que la garantie que les paramètres de registre suivants étaient définis sur « 0 » (zéro) ou ne sont pas définis :

• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTPrintersPointAndPrint
• NoWarningNoElevationOnInstall = 0 (DWORD) ou non défini (paramètre par défaut)
• UpdatePromptSettings = 0 (DWORD) ou non défini (paramètre par défaut)

Août : Des chercheurs révèlent une vulnérabilité de découverte automatique de Microsoft Exchange

Chercheurs du fournisseur de sécurité Guardicore découvert et divulgué publiquement un problème de conception dans Microsoft Exchange Autodiscover avec le potentiel d’amener Outlook et d’autres applications clientes Exchange tierces à divulguer des informations d’identification de domaine Windows en texte brut vers des serveurs externes.

« Il s’agit d’un problème à la fois avec la conception de la façon dont Microsoft a initialement mis en œuvre ce [protocole] et un problème dans la façon dont les tiers l’implémentent. Il s’agit d’un double problème : il s’agit à la fois d’un problème de conception et d’un problème de mise en œuvre », a commenté Amit Serper, vice-président de la recherche en sécurité.

Entre-temps, Microsoft a commencé à enquêter et à prendre des mesures pour atténuer la menace afin de protéger les clients.

« Nous nous engageons à divulguer les vulnérabilités de manière coordonnée, une approche collaborative standard du secteur qui réduit les risques inutiles pour les clients avant que les problèmes ne soient rendus publics. Malheureusement, ce problème n’a pas été signalé à nous avant l’équipe marketing du chercheur l’a présenté aux médias, nous avons donc appris les allégations aujourd’hui », a déclaré Jeff Jones, directeur principal de Microsoft, dans un communiqué envoyé par e-mail.

Serper a expliqué que Guardicore n’avait en effet pas contacté Microsoft, car le problème sous-jacent de la façon dont Autodiscover crée des URL n’était pas une vulnérabilité zero-day et était connu depuis 2017.

26 août : les chercheurs accèdent aux données de plusieurs milliers de clients Microsoft Azure

Les chercheurs de Wiz ont obtenu un accès complet et illimité aux comptes et bases de données de plusieurs milliers de clients Microsoft Azure grâce à un série de failles qui affectent le service de base de données phare d’Azure, Cosmos DB. Surnommée ChaosDB par les chercheurs, la vulnérabilité a permis à tout utilisateur de télécharger, supprimer ou manipuler une grande collection de bases de données commerciales de manière triviale et sans autres informations d’identification.

« L’équipe de sécurité de Microsoft mérite un énorme crédit pour avoir pris des mesures immédiates pour résoudre le problème », les chercheurs ont écrit. « On voit rarement les équipes de sécurité bouger aussi vite ! Ils ont désactivé la fonction de bloc-notes vulnérable dans les 48 heures suivant notre signalement. Il est toujours désactivé pour tous les clients en attendant une refonte de la sécurité. »

Cependant, les clients peuvent rester vulnérables car leurs clés d’accès primaires ont été potentiellement exposées, ont-ils ajouté.

« Microsoft a informé plus de 30 % des clients de Cosmos DB qu’ils devaient faire pivoter manuellement leurs clés d’accès pour atténuer cette exposition. Microsoft n’a envoyé des e-mails qu’aux clients concernés au cours de notre courte période de recherche (environ une semaine). Cependant, nous pensons que de nombreux autres clients de Cosmos DB peuvent être à risque. La vulnérabilité est exploitable depuis au moins plusieurs mois, voire des années. »

7 septembre : vulnérabilité Microsoft MSHTML

Dans ce qui s’est avéré être le premier de plusieurs problèmes de sécurité importants en l’espace d’un mois pour Microsoft, le géant de la technologie a mis en garde contre une vulnérabilité d’exécution de code à distance (CVE-2021-40444) impactant MSHTML (alias Trident) activement exploité à l’état sauvage.

Trident est un moteur de navigateur propriétaire pour la version Microsoft Windows d’Internet Explorer et était menacé par des attaques utilisant des documents Microsoft Office spécialement conçus hébergeant le moteur de rendu du navigateur.

« L’attaquant devrait alors convaincre l’utilisateur d’ouvrir le document malveillant. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourraient être moins touchés que les utilisateurs qui fonctionnent avec des droits d’utilisateur administratifs », a écrit Microsoft.

L’exploitation a été décrite comme peu complexe et reproductible, avec la possibilité d’avoir un impact sur les ressources au-delà de la portée de la sécurité gérée par l’autorité de sécurité du composant vulnérable. Microsoft a publié des mises à jour de sécurité pour corriger la vulnérabilité le 14 septembre et a exhorté les clients à maintenir les produits anti-malware à jour.

14 septembre : Microsoft divulgue plusieurs vulnérabilités non exploitées

Le même jour où il a publié des mises à jour de sécurité pour atténuer la faille Trident, Microsoft a publié des détails sur une série de vulnérabilités non exploitées (au moment de la divulgation) dans ses services.

CVE -2021-36968 : Une vulnérabilité d’élévation des privilèges dans Windows DNS. Microsoft a déclaré que le composant vulnérable n’était pas lié à la pile réseau et que le chemin de l’attaquant passe par les capacités de lecture/écriture/exécution.

« Soit l’attaquant exploite la vulnérabilité en accédant au système cible localement (par exemple, clavier, console) ou à distance (par exemple, SSH ); ou l’attaquant s’appuie sur l’interaction de l’utilisateur par une autre personne pour effectuer les actions nécessaires à l’exploitation de la vulnérabilité (par exemple, inciter un utilisateur légitime à ouvrir un document malveillant). Microsoft a mis en garde contre le potentiel de perte totale de disponibilité à la suite d’une attaque, accordant à un attaquant la possibilité de refuser totalement l’accès aux ressources du composant concerné.

CVE -2021-38647 : Une vulnérabilité affectant Open Management Infrastructure (OMI) via certains produits Azure. « Certains produits Azure, tels que Configuration Management, exposent un port HTTP/S écoutant OMI (généralement le port 5986) », a écrit Microsoft.

« Cette configuration où l’écouteur HTTP/S est activé pourrait permettre l’exécution de code à distance. Il est important de mentionner que la plupart des services Azure qui utilisent OMI le déploient sans exposer le port HTTP/S. Un attaquant pourrait envoyer un message spécialement conçu via HTTPS au port écoutant OMI sur un système vulnérable. »

Microsoft a averti que la vulnérabilité exploitable à distance était de faible complexité d’attaque, ne nécessitait aucune interaction de l’utilisateur et pouvait potentiellement conduire à un refus total d’accès aux ressources du composant concerné. Un correctif a été publié sur GitHub le 11 août pour permettre aux utilisateurs d’atténuer les risques avant que les détails complets de CVE ne soient rendus publics par Microsoft.

CVE -2021-36965 : Une vulnérabilité affectant les services Windows WLAN AutoConfig. Microsoft a déclaré que la vulnérabilité était « liée à la pile réseau, mais l’attaque est limitée au niveau du protocole à une topologie logiquement adjacente ».

Cela signifie qu’une attaque doit être lancée à partir du même réseau physique ou logique partagé, ou à partir d’un domaine administratif sécurisé ou autrement limité. Menaçant une perte totale de confidentialité et d’intégrité, un exploit est limité aux ressources gérées par la même autorité de sécurité. Selon Microsoft, une solution complète de correctifs fournisseur est disponible.

CVE -2021-36952 : Cette vulnérabilité d’exécution de code à distance de Visual Studio a été décrite par Microsoft comme non liée à la pile réseau, avec le chemin d’un attaquant via des capacités de lecture/écriture/exécution. CVE-2021-36952 pourrait amener un attaquant à refuser complètement l’accès aux ressources du composant concerné.

CVE -2021-38667 : Deux mois après CVE-2021-34527, une nouvelle vulnérabilité d’élévation des privilèges affectant le spouleur d’impression Windows a été divulguée. « L’attaquant est autorisé avec (c’est-à-dire nécessite) des privilèges qui fournissent des fonctionnalités utilisateur de base qui pourraient normalement affecter uniquement les paramètres et les fichiers appartenant à un utilisateur. Alternativement, un attaquant avec de faibles privilèges peut avoir la capacité d’avoir un impact uniquement sur les ressources non sensibles », a écrit Microsoft.

CVE -2021-36975 et CVE-2021-38639 : Deux nouvelles vulnérabilités d’élévation de privilèges, affectant cette fois Win32k, ont également été partagées par Microsoft. Les deux avaient le potentiel d’être exploités avec succès à plusieurs reprises par un attaquant.

16 septembre : les acteurs APT exploitent une vulnérabilité dans ManageEngine ADSelfService Plus

Un conseil conjoint du FBI , United States Coast Guard Cyber ​​Command (CGCYBER) et la CISA ont mis en garde contre les cybermenaces associées à l’exploitation active d’un nouvelle vulnérabilité (CVE-2021-40539) dans ManageEngine ADSelfService Plus, un mot de passe en libre-service solution de gestion et d’authentification unique. Alors que les risques posés étaient liés à des tiers plutôt que directement liés à Microsoft lui-même, ils présentent une menace notable pour Microsoft Active Directory.

27 septembre : APT29 cible les services de fédération Active Directory

Des chercheurs en sécurité ont signalé un groupe de cyberespionnage notoire lié ​​au gouvernement russe qui a déployé une nouvelle porte dérobée conçue pour exploiter Active Directory Federation Services (AD FS) et voler des bases de données de configuration et des certificats de jetons de sécurité.

Microsoft a attribué le programme malveillant FoggyWeb au groupe NOBELIUM (également connu sous le nom d’APT29 ou Cozy Bear) – qui serait à l’origine de la porte dérobée SUNBURST. Microsoft a déclaré avoir notifié tous les clients observés ciblés ou compromis par cette activité, en recommandant aux utilisateurs de :

• Audit l’infrastructure sur site et dans le cloud, y compris la configuration, les paramètres par utilisateur et par application, les règles de transfert et d’autres modifications que l’acteur a pu apporter pour maintenir l’accès.
• Supprimez l’accès des utilisateurs et des applications, examinez les configurations pour chacun, et réémettez de nouvelles informations d’identification solides conformément aux meilleures pratiques documentées du secteur.
• Utilisez un module de sécurité matériel (HSM) comme décrit dans la sécurisation des serveurs AD FS pour empêcher l’exfiltration de secrets par FoggyWeb.

Microsoft a ajouté que ses produits de sécurité avaient mis en place des détections et des protections contre les logiciels malveillants.

Microsoft reste une cible d’attaque importante

Comme le montrent les incidents des derniers mois, les services Microsoft restent une cible importante d’attaques et d’exploitation, tandis que des vulnérabilités en leur sein continuent d’être révélées. « Les applications et les systèmes Microsoft continuent d’être des cibles de grande valeur pour les pirates informatiques, car ils sont si largement déployés dans le monde entier », a déclaré Merritt Maxim, directeur de recherche et analyste principal de Forrester, au CSO.

Maxim estime qu’environ 80 % des entreprises utilisent Microsoft Active Directory « dans le monde entier sous une forme ou une autre. Étant donné qu’Active Directory sert de référentiel pour les informations d’authentification des utilisateurs (entre autres fonctionnalités) et que les informations d’authentification sont une source de données très précieuse pour les pirates, il est naturel que les pirates continuent de cibler les systèmes Microsoft, car tout exploit qui peut être développé peut être tenté contre un grand nombre de sources. »

« Les attaquants choisissent leurs cibles en fonction de leur valeur, et plus un système ou un programme est populaire, plus il est précieux pour un pirate informatique », explique Eugene Kolodenker, ingénieur du renseignement de sécurité et membre de l’équipe de recherche chez Lookout.

« De plus, en raison de la sophistication et de la complexité de Microsoft, il a une grande surface d’attaque, dont une grande partie est accessible à distance. Une combinaison de popularité et d’une grande surface d’attaque accessible à distance crée une cible parfaite. »

Martin Jartelius, CSO chez Outpost24, ajoute : « Le fait est que ce sont rarement ces produits qui sont à l’origine de la violation ; une violation se produit ailleurs, puis les attaquants se dirigent vers ces parties intégrantes les plus importantes de l’organisation. »

Réponse de Microsoft aux incidents de sécurité

En réfléchissant à la réponse et au traitement des incidents de sécurité par Microsoft, John Bambenek, principal chasseur de menaces chez Netenrich, affirme que l’entreprise fait généralement du bon travail. « Au contraire, ils ont probablement le processus de sécurité des produits le plus perfectionné qui soit. »

Max est d’accord. « Compte tenu de l’omniprésence de leurs systèmes, garder une trace de chaque vulnérabilité possible est une tâche impossible. Microsoft continue d’investir dans les capacités de sécurité de ses offres natives et, grâce à des éléments tels que le Microsoft Threat Intelligence Center, continue de fournir des analyses et des enquêtes détaillées sur les logiciels malveillants émergents affectant leur plate-forme afin de tenir les entreprises informées et protégées. »

Cependant, alors que Microsoft a réagi rapidement et a rapidement tenté de corriger les vulnérabilités, plusieurs correctifs récents ont été incomplets, ce qui a conduit à une exploitation généralisée jusqu’à l’achèvement réussi du correctif, explique Kolodenker.

« De nombreuses vulnérabilités Microsoft de haut niveau ont été découvertes par des professionnels de la sécurité légitimes, et ce n’est qu’après la publication initiale du correctif que l’exploitation généralisée par les attaquants a commencé. Cela a été encore exacerbé par la preuve publique des concepts publiée avant l’adoption généralisée du correctif. « 

Cela montre pourquoi les entreprises ne peuvent pas se fier uniquement aux mises à jour de sécurité et aux correctifs fournis par les fournisseurs de services, quelle que soit leur influence. Au lieu de cela, ils doivent assumer eux-mêmes une partie de la responsabilité, en appliquant la sécurité pour atténuer les risques d’exploits et d’attaques axés sur les vulnérabilités.

Jartelius préconise une combinaison de méthodes préventives et réactives. « Tout comme nous testons nos systèmes d’alarme incendie de manière récurrente, nous devons tester ces défenses et hypothèses de sécurité. »

Les entreprises qui emploient des équipes internes ou externes pour simuler des attaques réelles tout en s’entraînant à les observer et à y répondre découvrent souvent des failles qui peuvent être évitées relativement facilement avant qu’elles ne soient ciblées dans le monde réel. « La plupart des organisations ont du mal à tenir un adversaire expérimenté, simulé ou non, à distance », dit-il.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur