Mise à jour critique d'octobre 2020 pour vos Windows

⚠️ Le blog a été déplacé vers le site Patrowl, vous serez redirigé automatiquement dans 3 secondes, sinon cliquez sur ce lien : https://patrowl.io/mise-a-jour-critique-doctobre-2020-pour-vos-windows/
👍 Vous y retrouverez toutes les nouvelles publications

Bonjour à tous,

Microsoft a publié hier son bulletin de sécurité concernant ses systèmes d'exploitation.

Celui-ci a de particulier que deux vulnérabilités sont particulièrement critiques :

• CVE-2020-16898, touchant le protocole ICMPv6, activé par défaut sur tous les systèmes et rarement désactivé
• CVE-2020-16952, touchant Sharepoint  et publiée (à priori) en dehors de ce bulletin.

CVE-2020-16898 / ICMPv6 (nommée Bad Neighbor)

Il s'agit d'une vulnérabilité de dépassement de tampon permettant d'exécuter du code à distance, sans authentification (c'est de l'ICMP 😉) sur une cible et d'en prendre le contrôle.

Il est donc particulièrement important de mettre à jour, ou d'à minima bloquer ICMPv6 sur le firewall local ou sur les firewalls réseau. Dans des cas que j'ai pu tester, certains firewall supportant mal ICMPv6 laissent passer ces paquets, les rendant inopérants.

La RedTeam interne de Microsoft dispose d'un PoC privé fonctionnel et je suppose donc que d'autres équipes disposent également d'un code d'exploitation fonctionnel car l'article de McAfee est assez détaillée et le correctif étant sorti, il a déjà été analysé pour en comprendre son comportement.

Les articles sur le sujet :

• Détails de Microsoft : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
• Article expliquant la vulnérabilité : https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/

CVE-2020-16952 / SharePoint

Il d'agit d'une vulnérabilité touchant le logiciel de gestion de convenu web SharePoint et permettant de prendre le contrôle d'un serveur à distance mais après authentification.

Il est important de mettre à jour car un code d'exploitation a été publié hier :

• Détails de Microsoft : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16952
• Exploit : https://srcincite.io/pocs/cve-2020-16952.py.txt
• Article expliquant la vulnérabilité : https://attackerkb.com/topics/4yGC4tLK2x/cve-2020-16952

Il est à noter que beaucoup d’autres vulnérabilités sont également assez critiques comme :

• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16918     permettant de faire une exécution de code à distance sur l’outil de visualisation et de rendu 3D « 3D Viewer » (couche « Base3D ») dans Microsoft 365
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16929     , https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16932     ,   https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16931     , https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16932     et https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16930     exécutions de code et prise de contrôle de l’ordinateur, à l’ouverture d’un fichier Excel spécialement formaté (malveillant 😉 )
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16947     exécution de code dans Outlook à la prévisualisation du contenu d’un mail, tout simplement 😱
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16954     exécutions de code et prise de contrôle de l’ordinateur, à l’ouverture d’un fichier Office (sans plus de précision) spécialement formaté
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16891     évasion d’une machine virtuelle depuis Hyper-V permettant de prendre le contrôle de l’hyperviseur, depuis une machine virtuelle 💥💥💥

Bon courage à tous dans la gestion de vos correctifs de sécurité et comme d’habitude, voici un exemple de processus de de gestion des vulnérabilités :

Sinon, plus simplement : vous  appliquez en urgence ces mises à jour partout 😉.