Les failles non patchées sont-elles le cauchemar des administrateurs ?
ProxyShell, PrintNightmare ou PetitPotam – des failles souvent impossibles à patcher sans délai – ne laissent aucun répit aux administrateurs système. Yves Kraft nous montre pourquoi le Logging et le Monitoring prennent de plus en plus d’importance en cybersécurité défensive.
Les failles dont les noms arborent des consonances dramatiques comme Hafnium, ProxyShell, PrintNightmare, HiveNightmare et PetitPotam ont bien occupé les administrateurs système ces derniers mois – d’autant plus pendant les vacances d’été.
On est alors en droit de se demander si les administrateurs sont autorisés à prendre des vacances. Car l’installation rapide d’un patch s’est montrée particulièrement décisive pour certaines vulnérabilités. De plus, la prochaine vague d’attaques au rançongiciel et de campagnes de phishing serait déjà imminente. De nos jours, on n’a presque plus le temps de reprendre son souffle.
1 ProxyShell
On dénombre trois identifiants CVE pour les problèmes qui sont entrés dans l’histoire sous le nom de « ProxyShell » : CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207. Ici, le mot d’ordre est de patcher le plus vite possible. Les mises à jour de sécurité correspondantes pour Microsoft Exchange Server sont disponibles depuis avril et mai.
2 PrintNightmare
Début juillet, Microsoft a publié des informations sur une faille du nom de PrintNightmare. En raison d’une brèche de sécurité du service Spouleur d’impression de Windows (client et serveur), des hackers authentifiés ont pu attaquer des ordinateurs et exécuter du code malveillant grâce aux droits système.
3 PetitPotam
Une attaque récemment rendue publique porte le nom fantaisiste de PetitPotam. L’attaque PetitPotam permet la reprise d’un domaine Windows en exploitant une faille dans l’Active Directory Certificate Service (AD-CS) de Microsoft et en utilisant l’authentification NTLM. Il est ainsi possible pour un hacker non authentifié de s’octroyer les plus hauts privilèges dans Active Directory.
4 HiveNightmare
HiveNightmare est une faille de Windows 10 (dès la version 1809) et de Windows 11 qui permet de lire la base de données Security Accounts Manager (SAM) d’un système vulnérable.
Il n’est souvent pas possible pour l’administrateur système de patcher immédiatement de telles failles. Soit parce qu’il s’agit de failles Zero Day, ce qui implique une mise sous pression du fournisseur pour mettre à disposition le plus rapidement possible un patch pour la faille décelée, ou alors parce que les cycles de patchs sont agencés de telle sorte qu’il est possible pour les cybercriminels d’exploiter activement ces vulnérabilités pendant une certaine période avant qu’elles soient corrigées par un patch.
Les exemples présentés plus haut montrent que la détection d’attaques potentielles joue ainsi un rôle décisif. Les mots-clés comme le « Logging » et le « Monitoring » sont cependant souvent inconnus des responsables système. Le framework MITRE ATT&CK vous aide à catégoriser les attaques courantes des cybercriminels, à mieux évaluer leur gravité et à mettre en œuvre les éventuelles mesures préventives.
Nos formations en cybersécuritéGrâce à nos formations, adoptez la perspective d’un hacker pour renforcer la sécurité de l’infrastructure de votre entreprise : Apprenez à défendre vos systèmes et protéger vos données :
La sécurité passe aussi par notre comportement. Sensibilisez-vous et vos collaborateurs aux menaces sécuritaires : |
Grâce à nos formations, adoptez la perspective d’un hacker pour renforcer la sécurité de l’infrastructure de votre entreprise :
Apprenez à défendre vos systèmes et protéger vos données :
- Certified Network Defender (CNDB)
- CISSP – Certified Information Systems Security Professional (CSP)
- CISM – Certified Information Security manager (CS1)
- CISA – Certified Information Systems Auditor (CAM)
- Public Key Infrastructures (PKI)
- Sécurité de l’IoT dans l’industrie, l’entreprise et le privé (IOTSEC)
- ISO/IEC 27005 Risk Manager (HSR)
- ISO/IEC 27001 Foundation (ISF)
- ISO/IEC 27001:2022 Transition (HST)
- ISO/IEC 27001 Lead Auditor (HSI)
- ISO/IEC 27001 Lead Implementer (HSL)
- RGPD/GDPR – Certified Data Protection Officer (CDPO)
- RGPD/GDPR – Foundation (GDPRF)
La sécurité passe aussi par notre comportement. Sensibilisez-vous et vos collaborateurs aux menaces sécuritaires :
Liens et Sources :
- Microsoft Support: Security update for Microsoft Exchange Server 2019, 2016, and 2013 (April 2021)
- Microsoft Support: Security update for Microsoft Exchange Server 2019, 2016, and 2013 (Mai 2021)
- PrintNightmare Advisory von Microsoft: Windows Print Spooler Remote Code Execution Vulnerability