NEWS #Digitale : envie de recevoir nos meilleurs articles ?  Inscription → 

Ecosystème Microsoft : Quelles Sont les Vulnérabilités les Plus Fréquentes ?

Ecosystème Microsoft : quelles sont les vulnérabilités les plus fréquentes ? Chaque année, le nombre de vulnérabilités dans l’écosystème Microsoft ne cesse de croître. La situation est réellement préoccupante, car dans le monde plus de 1,5 milliard de personnes utilisent chaque jour des produits Microsoft, offrant aux cyberattaquants une importante surface d’attaque. Cette dernière étant définie comme la somme totale des vulnérabilités accessibles à un pirate dans un équipement informatique ou un réseau donné.

Maintenant dans sa neuvième année, BeyondTrust publie chaque année un rapport sur les vulnérabilités les plus critiques de l’écosystème Microsoft. Intitulé « Rapport sur les vulnérabilités de Microsoft 2022 », le rapport en question recense les dernières vulnérabilités les plus fréquentes dans l’écosystème Microsoft.

Le même rapport fait apparaitre une augmentation de 48 %, entre les vulnérabilités découvertes entre 2020 et 2021, situant le chiffre au-delà de 1.250, ce qui est considérable. Pour la justesse de nos propos, Microsoft publie des rapports de temps en temps sur les vulnérabilités corrigées, mais de nouvelles sont découvertes presque chaque semaine, et parmi les plus dangereuses restent toujours celles qui exécutent les codes à distance, et aussi celles qui gèrent les privilèges.

Avec la recrudescence des cyberattaques ces dernières années, connaître ces vulnérabilités Microsoft qui menacent votre organisation va vous permettre d’améliorer votre stratégie de défense. Vous saurez quelle menace gérer et aussi quelle erreur ne plus commettre avec les produits Microsoft que vous utilisez au quotidien.

Quelles sont dans le monde Microsoft et son écosystème, les  vulnérabilités les plus fréquentes  ? Décryptage, découvrons dans le détail de l’article qui suit  !

Écosystème Microsoft – le paysage demeure maqué par des vulnérabilités élevées 

Malgré la direction louable prise récemment par la firme de faire de la sécurité de ses produits la priorité ainsi que les efforts qu’elle a déjà fournis pour sécuriser l’écosystème Microsoft (Microsoft Cloud, Sécurité Microsoft, Azure, Dynamics 365, Microsoft 365 pour les entreprises, Microsoft Power Platform…), le paysage demeure cependant maqué par des vulnérabilités élevées en terme de nombre et criticité. C’est ce qu’avance en tout cas le rapport sur les vulnérabilités Microsoft 2022 publié tout récemment par BeyondTrust, une société américaine qui développe, commercialise et prend en charge une famille de produits de gestion des identités/accès privilégiés.

Alors que Microsoft n’a dernièrement pas cessé d’investir lourdement dans la cybersécurité, le constat est amer pour tout le monde. Comme chaque année, trop vulnérabilités ont été signalées. Les RSSI (Responsables de la Sécurité des Systèmes d’Information) et les DSI (Directeur des Systèmes d’Information), eux, ne cachent plus depuis plusieurs années leur frustration sur le nombre de failles de sécurité sur les produits Microsoft qui reste très important.

Les menaces n°1 : vulnérabilités d’élévation de privilèges

Dans son « Rapport sur les vulnérabilités de Microsoft 2022 », BeyondTrust a indiqué avoir découvert exactement 1212 vulnérabilités dans l’écosystème Microsoft sur toute l’année 2021. Et parmi ces vulnérabilités identifiées, 588 étaient de type élévation de privilèges. Un record ! Pour la deuxième année consécutive, cette catégorie précise de vulnérabilités de vulnérabilité occupe donc la première place des vulnérabilités les plus observées de l’univers Microsoft. Si on fait le calcul, elles représentent 49 % de toutes les vulnérabilités en 2021. C’est presque la moitié !

L’élévation des privilèges implique qu’un attaquant accède à un compte et trouve un moyen d’augmenter le niveau de privilèges associé à ce compte (vertical), de tirer parti de son accès pour accéder à d’autres comptes d’utilisateurs (horizontal), ou les deux.

Les attaques par élévation des privilèges sont utilisées pour accéder aux réseaux, généralement dans le but d’exfiltrer des données, de perturber l’activité commerciale ou d’installer des portes dérobées pour permettre un accès continu aux systèmes internes.

CVE-2022-29799 et CVE-2022-29800 sont deux vulnérabilités d’élévation des privilèges les plus critiques et récentes identifiées par Microsoft sur ses produits, plus précisément dans Linux, un sous-système Linux intégré dans Windows. Donnant l’accès à la racine même des ordinateurs, ces deux failles ont combiné des menaces telles que Traversal Directory (une faille Directory Traversal qui permet aux attaquants d’explorer récursivement tous les fichiers et répertoires d’un serveur) ou encore la vulnérabilité de liens symboliques.

Qu’est-ce qui explique l’augmentation vertigineuse des vulnérabilités d’élévation des privilèges selon BeyondTrust ?

Dans son rapport, BeyondTrust a avancé deux hypothèses qui pourraient expliquer l’augmentation vertigineuse des vulnérabilités d’élévation des privilèges dans l’écosystème Microsoft. Les voici :

1- Les entreprises adoptent de plus en plus les meilleures pratiques de sécurité et sont devenues plus prudentes quant à l’attribution des droits d’administrations. Résultat, il devient de plus en plus difficile de pirater le compte des utilisateurs qui détiennent les droits d’administrateur locaux, ce qui oblige les hackeurs à changer de stratégie, en se rabattant notamment sur les éventuelles failles qui permettent d’obtenir des privilèges élevés.

2- BeyondTrust a aussi découvert que les implémentations de sécurité conçues pour gérer les privilèges dynamiques dans les environnements cloud, hybrides et multicloud sont généralement moins matures dans les entreprises. À cause de cela, les vulnérabilités sont plus nombreuses et faciles à détecter.

Les menaces n°2 : vulnérabilités de type exécution de code à distance

Sur les 1212 vulnérabilités identifiées, 326 sont des vulnérabilités d’exécution de code à distance et 35 avaient un score CVSS de 9,0 ou plus, selon CVEDetails.com. Pour ceux qui l’ignorent, quand une vulnérabilité a un score CVSS de 9,0 – 10,0 (la plage de score maximum), on dit que sa gravité est critique. L’exploitation des vulnérabilités de ce niveau entraîne irrémédiablement une compromission au niveau de la racine des serveurs ou des périphériques d’infrastructure.Quand le score CVSS est si élevé, cela signifie aussi que l’exploitation de la vulnérabilité est généralement simple, dans le sens où l’attaquant ne fera face à aucune difficulté particulière.

Pour information, le remote code execution à distance décrit l’exécution de code arbitraire sur un système informatique par un attaquant qui ne dispose pas d’un accès direct à la console. Il est utilisé pour exposer une forme de vulnérabilité qui peut être exploitée lorsque l’entrée de l’utilisateur est injectée dans un fichier ou une chaîne et que le package entier est exécuté sur l’analyseur du langage de programmation.

Une attaque par exécution de code à distance peut conduire à une attaque qui compromettrait une application Web entière et le serveur Web. Il arrive aussi qu’elle aboutisse à une escalade des privilèges et à un pivotement du réseau. Pour ces quelques raisons, le remote code execution a toujours une gravité élevée ou critique.

Les autres menaces les plus concourantes dans l’écosystème Microsoft

Voici quelques chiffres clés sur les autres catégories de vulnérabilités les plus fréquentes dans l’écosystème Microsoft présentés par BeyondTrust dans son « Rapport sur les vulnérabilités de Microsoft 2022 » :

Les vulnérabilités de divulgation d’informations.

Cette catégorie de menace est à la troisième place des menaces les plus courantes dansl’écosystème Microsoft. Sur les 1212 vulnérabilités identifiées, 129 sont des menaces de divulgation d’informations. La divulgation d’informations se produit lorsque les applications, les sites web y compris, ne parviennent pas à protéger correctement les informations sensibles et confidentielles contre des utilisateurs ou personnes de l’extérieur qui ne sont normalement pas censés avoir accès à ces données.

Les vulnérabilités d’usurpation d’identité.

Sur les 1212 vulnérabilités dans l’écosystème Microsoft signalées en 2021, 66 étaient des vulnérabilités d’usurpation d’identité. Pour information, l’usurpation d’identité consiste à déguiser une communication ou une identité afin qu’elle semble être associée à une source fiable, connue et autorisée. Elle peut prendre de nombreuses formes, telles que les e-mails usurpés, l’usurpation d’adresse IP, l’usurpation de DNS, l’usurpation de GPS, l’usurpation de site Web et les appels usurpés.

Très récemment, Microsoft a corrigé une vulnérabilité d’usurpation d’identité du nom de CVE-2022-23278. L’attaquant qui parviendrait à l’exploiter avait la possibilité de se faire passer pour un autre utilisateur ou système.

Les vulnérabilités DNS (déni de service).

Elles représentent 4.5% des vulnérabilités identifiées dans l’écosystème Microsoft en 2021. Le déni de service est un type de cyberattaque conçu pour désactiver, arrêter ou perturber un réseau, un site Web ou un service. En règle générale, un logiciel malveillant est utilisé pour interrompre ou inhiber le flux normal de données entrant et sortant d’un système afin de rendre la cible inutile ou inaccessible pendant une certaine période. Un exemple d’attaque DNS : lorsqu’un site Web est consulté de manière massive et répétée à partir de différents endroits, empêchant les visiteurs légitimes d’accéder au site Web.

Évidemment, les attaques DNS ne fonctionnent pas sans vulnérabilités apparentes sur le système ciblé que les attaquants peuvent exploiter. En 2021, l’écosystème Microsoft en comptait 55 selon le rapport BeyondTrust.

Les vulnérabilités de contournement de la fonction de sécurité.

 Sur toute l’année 2021, BeyondTrust en a recensé en tout 44 vulnérabilités entrant dans cette catégorie. Faisant d’elle, la sixième catégorie de vulnérabilités la plus observée en 2021. Ce type de vulnérabilité pour information permet à un attaquant distant de contourner des mesures de sécurité telles que le processus d’authentification par exemple. Un attaquant distant authentifié peut obtenir des privilèges élevés sur le système cible.

Les vulnérabilités permettant les falsifications.

Sur les 1212 vulnérabilités dans l’écosystème Microsoft signalées en 2021, 3 seulement sont des vulnérabilités permettant une falsification que ce soit de paramètre ou de données. La falsification des données fait référence à l’acte de modification non autorisée des données. En ce qui concerne l’attaque de falsification de paramètres, elle cible généralement la logique métier d’une application Web. Elle est utilisée par des utilisateurs malveillants qui cherchent à exploiter l’application à leur profit. Et quand la cible est un site web, l’attaque de falsification de paramètres consiste aussi à modifier les paramètres d’une URL sans l’autorisation de l’utilisateur. Le but de l’attaque étant de diriger le navigateur de l’utilisateur vers un lien, une page ou un site auquel il n’avait pas l’intention d’accéder.

Auteur Antonio Rodriguez Mota, Editeur et Directeur de Clever Technologies

Pour en savoir plus sur les vulnérabilités et les cybersécurités

5/5 - (1 vote)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *