Mise à jour critique d’octobre 2020 pour vos Windows

Bonjour à tous,

Microsoft a publié hier son bulletin de sécurité concernant ses systèmes d’exploitation.

Celui-ci a de particulier que deux vulnérabilités sont particulièrement critiques :

• CVE-2020-16898, touchant le protocole ICMPv6, activé par défaut sur tous les systèmes et rarement désactivé
• CVE-2020-16952, touchant Sharepoint et publiée (à priori) en dehors de ce bulletin.

Il s’agit d’une vulnérabilité de dépassement de tampon permettant d’exécuter du code à distance, sans authentification (c’est de l’ICMP 😉) sur une cible et d’en prendre le contrôle.

Il est donc particulièrement important de mettre à jour, ou d’à minima bloquer ICMPv6 sur le firewall local ou sur les firewalls réseau. Dans des cas que j’ai pu tester, certains firewall supportant mal ICMPv6 laissent passer ces paquets, les rendant inopérants.

La RedTeam interne de Microsoft dispose d’un PoC privé fonctionnel et je suppose donc que d’autres équipes disposent également d’un code d’exploitation fonctionnel car l’article de McAfee est assez détaillée et le correctif étant sorti, il a déjà été analysé pour en comprendre son comportement.

Les articles sur le sujet :

• Détails de Microsoft : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
• Article expliquant la vulnérabilité : https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/

Il d’agit d’une vulnérabilité touchant le logiciel de gestion de convenu web SharePoint et permettant de prendre le contrôle d’un serveur à distance mais après authentification.

Il est important de mettre à jour car un code d’exploitation a été publié hier :

• Détails de Microsoft : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16952
• Exploit : https://srcincite.io/pocs/cve-2020-16952.py.txt
• Article expliquant la vulnérabilité : https://attackerkb.com/topics/4yGC4tLK2x/cve-2020-16952

Il est à noter que beaucoup d’autres vulnérabilités sont également assez critiques comme :

• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16918 permettant de faire une exécution de code à distance sur l’outil de visualisation et de rendu 3D « 3D Viewer » (couche « Base3D ») dans Microsoft 365
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16929 , https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16932 , https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16931 , https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16932 ethttps://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16930 exécutions de code et prise de contrôle de l’ordinateur, à l’ouverture d’un fichier Excelspécialement formaté (malveillant 😉 )
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16947 exécution de code dans Outlook à la prévisualisation du contenu d’un mail, tout simplement 😱
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16954 exécutions de code et prise de contrôle de l’ordinateur, à l’ouverture d’un fichier Office(sans plus de précision) spécialement formaté
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16891 évasion d’une machine virtuelle depuis Hyper-V permettant de prendre le contrôle de l’hyperviseur, depuis une machine virtuelle 💥💥💥 Bon courage à tous dans la gestion de vos correctifs de sécurité et comme d’habitude, voici un exemple de processus de de gestion des vulnérabilités :

Sinon, plus simplement : vous appliquez en urgence ces mises à jour partout 😉.