Tout comme le mois dernier, davantage de vulnérabilités sont encore traitées par rapport à un mois classique. À moins qu’il ne s’agisse d’un nouveau rythme concernant les correctifs des failles de Microsoft et Adobe, avec un ensemble d’autres failles de sécurité à résoudre.
Avant d’aborder ces correctifs en détail, deux focus spécifiques pour ce mois-ci : FREAK et Superfish.
FREAK
FREAK est une vulnérabilité SSL découverte par l’équipe SMACKTLS. Cette vulnérabilité permet à un attaquant en position Man-in-the-Middle (MITM) d’affaiblir le chiffrement de la communication SSL de votre ordinateur en lui attribuant une configuration d’exportation (RSA 512 bits) qui peut être cassée relativement vite (moins de 24 heures). Une fois qu’il possède la clé, l’attaquant peut écouter vos communications, voire les modifier et vous réorienter vers des sites imposteurs. SMACKTLS diffuse sur son site une petite vidéo qui décrit les effets de cette vulnérabilité sur le site Web de l’agence nationale de sécurité américaine (NSA). Matthew Green anime un blog bien écrit qui s’étend sur certains problèmes et leur contexte historique (notamment sur la définition d’une suite de chiffrement de type Configuration d’exportation et pourquoi nous en avons besoin).

Bonne nouvelle : le problème est résolu au moins pour l’essentiel. OpenSSL a résolu la faille (CVE-2015-1637) en janvier, Apple diffuse des correctifs dès maintenant dans sa mise à jour de sécurité 2015-002 pour Mac OS X et iOS 82. pour l’iPhone. Quant à Microsoft, l’éditeur met à jour la bibliothèque SChannel vulnérable dans le bulletin MS15-031.

Vous pouvez vérifier tous vos systèmes, à la fois serveurs et clients, auprès de SSL Labs.
Superfish
Superfish est une société qui conçoit un module publicitaire pour navigateur. L’idée est d’analyser votre navigation/trafic et de vous offrir la meilleure publicité possible. Lenovo fait partie de ses clients et a donc préinstallé Superfish sur différentes gammes d’ordinateurs portables grand public depuis l’année dernière. Afin d’analyser et de modifier votre trafic SSL, Superfish installe un module d’interface réseau sur votre machine qui est chargée d’intercepter tous les flux SSL, de les déchiffrer et de les rechiffrer à l’aide de son propre certificat. Pour procéder de manière transparente, ce module installe sa propre autorité de certification racine sur la machine en question. Un site SSL que vous visitez vous semblera donc normal depuis votre navigateur, mais lorsque vous consulterez le certificat, vous constaterez qu’il a été signé par Superfish, Inc.

Cette conduite est déjà en soi invasive, car après tout, toutes vos habitudes de navigation sont transmises à un serveur qui analyse votre comportement, mais en plus et malheureusement, le déploiement de ce mécanisme engendre deux vulnérabilités sérieuses :

  1. Le certificat utilisé pour signer le nouveau trafic étant le même sur toutes les machines, un attaquant peut donc inverser le certificat sur sa machine pour savoir comment manipuler aussi le trafic sur toutes les autres machines. Une position MITM est une condition préalable nécessaire.
  2. Le module tente d’invalider des certificats auto-signés mais il ne traite que les cas les plus flagrants. Si bien que certains passeront inaperçus, ce qui permettra à l’attaquant d’utiliser des certificats auto-signés pour lancer une attaque. Là encore, une position MITM est une condition préalable nécessaire.

Des chercheurs en sécurité ont rapidement inversé le certificat et découvert le mot de passe dissimulé dans le code. Robert Graham d’ErrataSec a démontré comment monter une attaque MITM à l’aide d’un micro-ordinateur, un RaspBerry PI.

Notre recommandation : désinstaller le logiciel Superfish et supprimer le certificat offensant. Des instructions sont disponibles sur le site de Lenovo http://support.lenovo.com/en/product_security/superfish_uninstall

 

Microsoft
Intéressons-nous maintenant aux correctifs de Microsoft. Ils sont au nombre de 14 pour mars, dont 5 critiques. La priorité absolue est le bulletin MS15-018 consacré à Internet Explorer (IE). Toutes les versions d’IE sont concernées, depuis IE6 (sur Windows Server 2003) jusqu’à IE11. La nouvelle version traite 12 vulnérabilités, dont 10 critiques et exploitables pour exécuter du code sur la machine ciblée. L’une des vulnérabilités a été publiquement révélée, mais elle n’est pas du type Exécution de code à distance, ce qui atténue un peu l’exposition. Scénario typique : un attaquant injecte du code HTML malveillant sur un site Web sous son contrôle puis il incite la machine cible à se rendre sur ce site. Il peut aussi pirater un site sur lequel la cible se rend habituellement et tout simplement attendre que cette dernière se rende sur ledit site. MS15-019 est le bulletin frère de MS15-018 et corrige le composant VBScript pour IE6 et IE7 qui est résolu dans MS15-018 pour les navigateurs plus récents. Commencez par installer ce bulletin.

MS15-022 est le second bulletin le plus important en termes de sévérité. Il corrige cinq vulnérabilités dans Microsoft Office, l’un d’elle étant critique dans l’analyseur RTF. En effet, ce dernier peut être exécuté automatiquement dans la zone d’aperçu lors de la réception d’un courriel si bien que Microsoft classe cette vulnérabilité comme critique. Cependant, comme deux des vulnérabilités restantes permettent à un attaquant d’exécuter du code à distance, nous positionnons ce bulletin en tête du classement d’aujourd’hui.

MS15-021 résout huit vulnérabilités liées aux polices sous Windows. En effet, un attaquant qui incite un utilisateur à visualiser une police altérée peut lancer une exécution de code à distance sur la machine ciblée. Les attaques peuvent être lancées via des pages Web ou des documents, au format PDF ou Office.

 

Stuxnet
MS15-020 est le dernier bulletin critique de la série pour le mois de mars. Il concerne un attaquant qui peut inciter un utilisateur à parcourir un répertoire d’un site Web ou à ouvrir un fichier. Le système Windows Text Services contient une vulnérabilité qui permet à l’attaquant de lancer une exécution de code à distance sur la machine cible. Ce bulletin comprend aussi un correctif pour CVE-2015-0096, une vulnérabilité associée à la vulnérabilité Stuxnet d’origine CVE-2010-2568. HP ZDI a rapporté cette vulnérabilité à Microsoft et fournit une bonne description technique sur son blog.

 

Test Fuzzing
Tous les bulletins restants sont moins critiques, c’est-à-dire seulement importants, dans la mesure où les vulnérabilités concernées ne permettent typiquement pas à un attaquant d’exécuter du code à distance. Ces dernières sont plutôt des fuites d’information ou n’autorisent qu’une élévation locale de privilèges. Les bulletins MS15-024 et MS15-029 traitent des bugs découverts via l’outil afl-fuzz de lcamtuf et que ce dernier améliore sans cesse et rend toujours plus intelligent. Jetez un coup d’œil sur son blog pour lire une série de posts sur afl-fuzz.

 

Serveurs

MS15-026 est un bulletin pour Microsoft Exchange qui résout plusieurs élévations de privilèges et problèmes de fuites d’information. Consultez ce bulletin si vous utilisez Outlook Web Access. FREAK cible aussi les serveurs, même si de manière différente. Côté serveur, si vous désactivez le chiffrement de type Configuration d’exportation, vos utilisateurs ne pourront pas être victimes de la vulnérabilité FREAK, même si leurs clients ne sont pas patchés.
Rendez-vous donc sur SSLLabs pour vérifier rapidement l’état de vos serveurs.


Adobe

Adobe diffuse aussi une mise à jour (APSB15-05) pour Flash que Microsoft intègre à Internet Explorer, qui sera publiée ce jeudi. Explication de Microsoft dans le correctif KB2755801 : « Le 10 mars 2015, Microsoft a publié une mise à jour (3044132) pour Internet Explorer 10 sur Windows 8, Windows Server 2012, Windows RT ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour concerne les vulnérabilités décrites dans le bulletin de sécurité Adobe APSB15-05 (disponible le 12 mars 2015). Pour plus d’informations sur cette mise à jour, y compris les liens de téléchargement, voir l’article 3044132 dans la base de connaissances Microsoft. »
Appliquez les correctifs aussi vite que possible mais vérifiez aussi votre exposition à Superfish et sachez que certaines applications modifient votre magasin de certificats racine pour espionner vos communications.

 

 

_________
Wolfgang Kandek est CTO de Qualys Inc
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/03/10/patch-tuesday-march-2015