Comme si les DSI et RSSI n’étaient pas déjà assez occupés par la vulnérabilité Log4Shell, Microsoft alerte les entreprises sur de nouvelles failles Office et Active Directory déjà exploitées…

Décidément la fin d’année s’annonce vraiment très agitée pour les responsables cybersécurité. Non que l’année 2021 ait été calme… bien au contraire. Mais les mauvaises nouvelles s’amoncellent alors que les équipes IT aspirent à un repos qui aurait été bien mérité.

Microsoft alerte en effet les entreprises sur deux failles Active Directory patchées le mois dernier mais mise en évidence par un outil « proof of concept » qui vient faciliter grandement le travail des cyber-attaquants.

On le sait, Active Directory est le talon d’Achille des réseaux d’entreprise. Et toutes les vulnérabilités concernant cet annuaire ont généralement un caractère critique. C’est le cas des deux vulnérabilités CVE-2021-42287 et CVE-2021-42278, toutes deux corrigées lors du « Patch Tuesday » de Novembre 2021.

Pour les entreprises qui tardent à patcher leurs contrôleurs de domaine, il est l’heure de réagir et vite ! Les deux failles permettent une élévation des privilèges : à partir d’un profil utilisateur classique compromis, les cyber-attaquants peuvent s’octroyer des rôles d’administrateurs de domaine. Le problème, c’est qu’un outil « Proof Of Concept » mettant à profit ces failles pour prendre le contrôle des contrôleurs de domaine a été divulgué publiquement sur GitHub et Twitter le 11 décembre dernier. Une aubaine pour les cyber-attaquants qui n’ont pas de reverse engineering des patchs à faire et peuvent désormais exploiter ces vulnérabilités sans effort. Plusieurs chercheurs en cybersécurité ont confirmé que non seulement cet outil fonctionnait mais qu’il était aussi très simple à utiliser.

Microsoft donne quelques astuces pour détecter des signes de compromission par de telles attaques avec son Microsoft 365 Defender. Mais l’éditeur invite surtout les entreprises à patcher au plus vite leurs contrôleurs de domaine.

Et comme une mauvaise nouvelle n’arrive jamais seule, on apprend également cette semaine que des cyber-attaquants ont trouvé un moyen de contourner un important patch de sécurité d’Office publié en Septembre dernier. Selon Sophos, des hackers ont réussi à tromper la rustine qui corrige la faille CVE-2021-40444. La faille permettait jusque-là d’exécuter du code à distance en le plaçant dans un fichier CAB. Là encore un Proof-Of-Concept montre qu’il est possible de contourner le correctif en utilisant une archive autre qu’un CAB. En attendant que Microsoft améliore son correctif, Sophos invite les entreprises à sensibiliser les utilisateurs sur les risques liés à l’ouverture des pièces attachées dans les emails et précise que ses protections reconnaissent et bloquent cet exploit.