BatBadBut, c'est le nom d'une nouvelle faille de sécurité critique découverte dans la bibliothèque Rust ! Elle pourrait être exploitée par un attaquant pour exécuter des commandes sur les machines sous Windows ! Faisons le point.

Cette vulnérabilité associée à la référence CVE-2024-24576 est considérée comme critique : son score CVSS est de 10 sur 10, ce qui représente le niveau de sévérité maximal.

Pour autant, cette faille de sécurité peut être exploitée uniquement dans des scénarios spécifiques : "La bibliothèque standard Rust n'échappait pas correctement les arguments lors de l'invocation de fichiers batch (avec les extensions bat et cmd) sous Windows à l'aide de l'API Command", peut-on lire dans le bulletin de sécurité publié sur le site de Rust, le 9 avril 2024. Ceci explique que la vulnérabilité soit exploitable uniquement sur Windows.

Pour exploiter cette vulnérabilité, l'attaquant doit contrôler les arguments transmis au processus créé au moment de l'invocation du fichier batch pour exécuter les commandes shell arbitraires, en contournant le mécanisme d'échappement (escaping).

Le chercheur en sécurité RyotaK de chez Flatt Security a fait la découverte de cette vulnérabilité présente dans toutes les versions de Rust avant la version 1.77.2. Si vous utilisez Rust, vous devez donc effectuer la mise à jour vers 1.77.2 car cette version corrige cette faille de sécurité (voir cette page).

Rust ne serait pas le seul langage affecté par BatBadBut

RyotaK a surnommé cette vulnérabilité BatBadBut, et d'après lui, Rust n'est pas le seul langage de programmation affecté : tout dépend de comment est géré la fonction CreateProcess de Windows.

"CreateProcess() crée implicitement cmd.exe lors de l'exécution de fichiers batch (.bat, .cmd, etc.), même si l'application ne les a pas spécifiés dans la ligne de commande. Le problème est que cmd.exe a des règles de parsing compliquées pour les arguments de la commande, et que les exécutions des langages de programmation ne parviennent pas à échapper correctement les arguments de la commande.", précise-t-il dans un rapport publié sur le site de Flatt Security.

Pour le moment, tous les langages de programmation affectés n'ont pas résolu le problème, et il y a un travail à réaliser également du côté développement pour mieux gérer l'échappement.

• Voici un tableau récapitulatif publié par RyotaK :

Si vous êtes développeur, le rapport de RyotaK pourra vous apporter des détails techniques intéressants, notamment pour améliorer votre code afin de gérer ce problème de sécurité.

Source

The post BatBadBut : une faille critique de Rust expose les machines Windows à des attaques ! first appeared on IT-Connect.

Mardi 9 avril 2024, Microsoft a publié la mise à jour KB5036893 pour les machines sous Windows 11 23H2 ! Elle apporte 29 modifications et permet aussi d'activer les nouveautés "Moment 5" pour l'ensemble des utilisateurs ! Faisons le point.

Depuis le 1er mars 2024, la mise à jour de fonctionnalités Moment 5 de Windows 11 est disponible. Pourtant, elle n'était pas distribuée à tous les utilisateurs, car il s'agissait d'une mise à jour optionnelle. Désormais, la nouvelle mise à jour KB5036893 va activer ces nouvelles fonctionnalités pour tout le monde. Pour en savoir plus sur les nouveautés qu'elle contient, vous pouvez lire notre article sur le sujet.

Mis à part cela, voici certains changements opérés par Microsoft :

• Nouveauté : cette mise à jour modifie l'expérience de la zone de recherche Windows pour les utilisateurs de l'Espace économique Européen. Ceci doit être un changement en lien avec le Digital Markets Act, et pourrait vous permettre de choisir une alternative à Bing pour les recherches Web (à confirmer).
• Nouveauté : cette mise à jour affecte Windows Hello for Business. Les administrateurs peuvent maintenant utiliser la gestion des appareils mobiles (MDM) pour désactiver l'invite qui apparaît lorsque les utilisateurs se connectent à une machine Entra-joined.
• Nouveauté : cette mise à jour améliore l'hôte de la session Bureau à distance. Vous pouvez désormais configurer sa politique de "redirection du presse-papiers" pour qu'elle fonctionne dans un seul sens, de l'ordinateur local vers l'ordinateur distant. Vous pouvez également inverser cet ordre.
• Correctif : cette mise à jour résout un problème qui empêche certaines applications et fonctionnalités d'être disponibles. Ce problème survient après la mise à niveau vers Windows 11.
• Correctif : cette mise à jour résout un problème qui affecte les ressources réseau. Vous ne pouvez pas y accéder à partir d'une session "Bureau à distance". Cela se produit lorsque vous activez la fonction "Remote Credential Guard" et que la machine tourne sous Windows 11, version 22H2 ou supérieure.
• Correctif : cette mise à jour résout un problème affectant certains NPU qui ne s'affichent pas dans le Gestionnaire des tâches de Windows.
• Correctif : cette mise à jour résout un problème qui affecte le service de stratégie de groupe. Il échoue lorsque vous utilisez LGPO.exe pour appliquer une stratégie d'audit au système.

Pour consulter la liste de tous les changements, vous pouvez consulter cette page du site Microsoft.

À l'occasion de son Patch Tuesday d'Avril 2024, Microsoft a corrigé 150 failles de sécurité dans plusieurs produits et services, ainsi que deux failles zero-day dans Windows. Pour approfondir le sujet, voici nos articles :

• Avril 2024 - Deux zero-day corrigées dans Windows (CVE-2024-26234 et CVE-2024-29988)
• Patch Tuesday d'avril 2024 de Microsoft
• Mise à jour d'avril 2024 pour Windows 10

Windows 11 : les KB d'avril 2024

En résumé, voici la liste des mises à jour Windows 11 publiées par Microsoft :

• Windows 11 23H2, Windows 11 22H2 : KB5036893
• Windows 11 21H2 : KB5036894

Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

The post KB5036893 : le point sur la mise à jour Windows 11 d’avril 2024 first appeared on IT-Connect.

Ce mardi 9 avril 2024, Microsoft a publié la mise à jour KB5036892 pour Windows 10 21H2 et Windows 10 22H2 dans le but d'apporter 23 changements et plusieurs nouveautés ! Faisons le point !

Au-delà d'intégrer des correctifs de sécurité, cette nouvelle mise à jour cumulative obligatoire pour Windows 10 apporte différents changements. Voici ceux mis en avant par Microsoft :

• Nouveauté : cette mise à jour ajoute Windows Spotlight au fond d'écran, dans le but d'utiliser de nouvelles images récupérées sur Bing en tant que fond d'écran. Cette fonctionnalité peut être activée dans les paramètres de fond d'écran du système.
• Nouveauté : cette mise à jour ajoute plus de contenu à votre écran de verrouillage. En plus de la météo, des informations sur les sports, la circulation et les finances s'afficheront. Cette fonctionnalité peut être activée dans les paramètres d'écran de verrouillage du système.
• Nouveauté : cette mise à jour modifie l'expérience de la zone de recherche Windows pour les utilisateurs de l'Espace économique Européen. Ceci doit être un changement en lien avec le Digital Markets Act, et pourrait vous permettre de choisir une alternative à Bing pour les recherches Web (à confirmer).
• Nouveauté : cette mise à jour affecte Windows Hello for Business. Les administrateurs peuvent maintenant utiliser la gestion des appareils mobiles (MDM) pour désactiver l'invite qui apparaît lorsque les utilisateurs se connectent à une machine Entra-joined.
• Correctif : cette mise à jour résout un problème qui affecte le clavier tactile. Il arrive qu'il ne s'ouvre pas.

Il est à noter qu'après l'installation de cette mise à jour, Windows 10 va vous inviter à passer à Windows 11, à condition que votre appareil soit éligible pour la mise à niveau. Ce message s'affichera au moment de la connexion à une session.

Pour en savoir plus sur tous les bugs corrigés, consultez la page dédiée à la mise à jour KB5035941 publiée le 26 mars 2024. Il s'agit de la mise à jour optionnelle donnant un aperçu des changements apportés par Microsoft avec la nouvelle mise à jour KB5036892 et, elle fait office de "journal des modifications".

À l'occasion de son Patch Tuesday d'Avril 2024, Microsoft a corrigé 150 failles de sécurité dans plusieurs produits et services, ainsi que deux failles zero-day dans Windows. Pour approfondir le sujet, voici nos articles :

• Avril 2024 - Deux zero-day corrigées dans Windows (CVE-2024-26234 et CVE-2024-29988)
• Patch Tuesday d'avril 2024 de Microsoft

Windows 10 : les KB d'Avril 2024

Voici la liste des mises à jour publiées par Microsoft :

• Windows 10 21H2 et 22H2 : KB5036892
• Windows 10 version 21H1 : Fin du support
• Windows 10 version 20H2 : Fin du support
• Windows 10 version 2004 : Fin du support
• Windows 10 version 1909 : Fin du support
• Windows 10 version 1903 : Fin du support
• Windows 10 version 1809 : KB5036896
• Windows 10 version 1803 : Fin du support
• Windows 10 version 1709 : Fin du support
• Windows 10 version 1703 : Fin du support
• Windows 10 version 1607 : KB5036899
• Windows 10 version 1507 : KB5036925

Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

Pour rappel, le support de Windows 10 21H2 Enterprise, Windows 10 Enterprise multi-session et Windows 10 Education prendra fin en juin prochain :

• Fin du support de Windows 10 21H2 Enterprise

The post Windows 10 KB5036892, que contient la mise à jour d’avril 2024 ? first appeared on IT-Connect.

À l'occasion de son Patch Tuesday d'avril 2024, Microsoft a corrigé deux failles de sécurité zero-day dans Windows. Elles sont déjà connues des attaquants et exploitées dans le cadre de cyberattaques. Faisons le point sur ces deux menaces !

Pour rappel, le Patch Tuesday d'avril 2024 de Microsoft permet de corriger au total 150 failles de sécurité, ainsi que les deux zero-day évoquées dans cet article.

CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)

En décembre 2023, l'équipe de chercheurs en sécurité Sophos X-Ops a fait la découverte de cette faille de sécurité dans le pilote de Proxy de Windows. Elle a été reportée à Microsoft par l'intermédiaire de Christopher Budd. Cette vulnérabilité permet d'usurper l'identité de l'éditeur de Microsoft, car elle permet de signer un pilote ou un exécutable avec le certificat "Microsoft Hardware Publisher". Un certificat valide et approuvé par le système d'exploitation Windows.

C'est en effectuant l'analyse d'un exécutable nommé "Catalog.exe" émanant de "Catalog Thales" et décrit comme "Catalog Authentication Client Service" que Sophos a fait la découverte de ce problème de sécurité. Il s'agit sans aucun doute d'une tentative d'usurpation d'identité du groupe Thales, tentée par les pirates.

"Toutefois, après avoir consulté nos données internes et les rapports de VirusTotal, nous avons découvert que le fichier était auparavant intégré à un fichier d'installation pour un produit appelé LaiXi Android Screen Mirroring", peut-on lire dans le rapport publié par Sophos. Ceci est cohérent vis-à-vis d'une découverte effectuée également par les équipes de Stairwell, comme nous pouvons le voir dans ce rapport.

Sophos n'est pas parvenu à savoir si cette application provenait d'un éditeur légitime ou non, mais "nous sommes convaincus que le fichier que nous avons examiné est une porte dérobée malveillante.", précise leur rapport.

Ensuite, Sophos a pris contact avec l'équipe du Microsoft Security Response Center dans le but de signaler ce problème de sécurité. Microsoft a pris la décision de révoquer le certificat de signature de code utilisé par les pirates, grâce à la mise à jour de la liste de révocation (d'où la CVE-2024-26234 et le correctif associé.

CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)

La vulnérabilité CVE-2024-29988 est présente dans la fonction de sécurité SmartScreen de Windows. Elle met en défaut le mécanisme de protection visant à protéger l'utilisateur contre l'exécution de fichiers potentiellement dangereux. La protection SmartScreen peut être contournée par cette vulnérabilité. Ainsi, elle ouvre la porte à l'exécution de malwares.

Ce problème de sécurité n'est pas nouveau, car il s'avère que la vulnérabilité CVE-2024-29988 permet de contourner le correctif CVE-2024-21412 précédemment mis au point par Microsoft (correctif publié en février 2024), qui lui-même permettait de bypasser le correctif CVE-2023-36025. Il s'avère que le précédent patch n'a pas corrigé totalement la vulnérabilité. Elle a été découverte par Peter Girnus de l'équipe Trend Micro Zero Day Initiative, ainsi que Dmitrij Lenz et Vlad Stolyarov de l'équipe Google Threat Analysis Group.

D'après Dustin Childs de l'équipe Trend Micro Zero Day Initiative (voir cette page), cette vulnérabilité est activement utilisée dans des attaques pour déployer des logiciels malveillants sur les machines Windows, en échappant aux systèmes de détection EDR/NDR et contournant la fonction "Mark of the Web" sur laquelle s'appuie SmartScreen, grâce à l'utilisation d'un fichier ZIP.

D'ailleurs, le groupe de pirates Water Hydra a exploité la vulnérabilité CVE-2024-21412 et il exploite désormais la CVE-2024-29988 dans le but d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT). Ce groupe cible en priorité les forums et canaux Telegram de forex.

Source

The post Windows : Microsoft a corrigé deux failles zero-day exploitées dans des attaques de malwares ! first appeared on IT-Connect.

Le mardi 9 avril 2024, Microsoft a dévoilé son nouveau Patch Tuesday qui va permettre de corriger 150 failles de sécurité, ainsi que 2 zero-day ! Faisons le point sur ce "très gros Patch Tuesday" d'avril 2024 !

Même si ce Patch Tuesday corrige 150 vulnérabilités dans les différents produits de Microsoft, il n'y a que 3 failles de sécurité critiques alors que 67 d'entres elles permettent une exécution de code à distance (RCE). Les trois failles de sécurité critiques ont été corrigées dans Microsoft Defender for IoT : CVE-2024-29053, CVE-2024-21323 et CVE-2024-21322.

Bien d'autres produits et services de chez Microsoft sont concernés par ce nouveau Patch Tuesday, notamment Azure (Azure Arc, Azure Migrate, Azure Monitor, Azure SDK, etc.), Microsoft Office (Outlook, Excel, SharePoint), le rôle "Serveur DNS" (7 vulnérabilités), le rôle "Hyper-V", SQL Server, le rôle "Serveur DHCP" (4 vulnérabilités) et Windows (BitLocker, Windows Defender Credentials Guard, Kerberos, le composant LSASS, le Secure Boot ou encore le noyau de Windows). De plus, Microsoft a corrigé 5 failles de sécurité dans son navigateur Edge.

Deux failles de sécurité zero-day

Microsoft a corrigé deux failles de sécurité zero-day et il s'avère qu'elles sont activement exploitées dans des attaques de logiciels malveillants. Pour en savoir plus sur cette vulnérabilité, vous pouvez lire cet article où nous apportons des détails supplémentaires :

• Avril 2024 - Deux zero-day corrigées dans Windows (CVE-2024-26234 et CVE-2024-29988)

CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)

La faille de sécurité CVE-2024-26234 a été remontée à Microsoft par Christopher Budd de chez Sophos. D'ailleurs, Sophos a indiqué que cette vulnérabilité était associée à un pilote malveillant étant signé avec un certificat "Microsoft Hardware Publisher" valide, ce qui lui permet d'être approuvé par le système d'exploitation Windows.

Ce pilote malveillant et signé a été utilisé dans le cadre de cyberattaques pour déployer une porte dérobée (backdoor) sur les machines compromises. Sans surprise, compte tenu de l'origine de ce problème de sécurité, toutes les versions de Windows et Windows Server sont affectées (à partir de Windows Server 2008), y compris les plus récentes.

CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)

Microsoft semble avoir des difficultés à corriger une faiblesse de longue date dans la fonction de sécurité SmartScreen de Windows. En effet, Microsoft a déjà publié plusieurs correctifs, mais à chaque fois, le patch parvient à être contourné. Ainsi, la faille de sécurité CVE-2024-29988 permet de bypasser le correctif CVE-2024-21412, qui lui-même permettait de bypasser le correctif CVE-2023-36025. Ceci permet d'ouvrir des fichiers malveillants sur la machine sans déclencher le filtre SmartScreen, c'est-à-dire qu'il n'y a pas de fenêtre d'avertissement pour demander à l'utilisateur de confirmer l'ouverture du fichier.

Le groupe de pirates Water Hydra a fait usage de cette vulnérabilité dans SmartScreen dans le cadre de cyberattaques ayant pour objectif d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT).

Versions affectées : Windows 10 Version 1809 et versions supérieures et Windows Server 2019 et versions supérieures.

Les mises à jour pour Windows 10 et Windows 11

Pour en savoir plus sur les nouvelles mises à jour pour Windows 10 et Windows 11, retrouvez nos deux articles :

• Mise à jour Windows 10 d'avril 2024
• Mise à jour Windows 11 d'avril 2024

Source

The post Patch Tuesday – Avril 2024 : 150 vulnérabilités corrigées, ainsi que 2 failles zero-day ! first appeared on IT-Connect.