Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée (7 au 11 août). Nous vous proposons de revenir sur la publication d’un correctif pour Microsoft Windows Server 2008. L’exploitation de ces vulnérabilités permettait à un attaquant distant de provoquer un déni de service, de dérober des informations sensibles, d’élever ses privilèges, voire de prendre le contrôle du système.
Description
10 vulnérabilités ont été corrigées au sein de Windows Server 2008 et Windows Server 2008 R2. Leur exploitation permettait à un attaquant de provoquer un déni de service, de dérober des informations sensibles, d’élever ses privilèges ainsi que de prendre le contrôle du système.
Les failles de sécurité référencées CVE-2017-0250, CVE-2017-0293, CVE-2017-8620 et CVE-2017-8691 provenaient d’un défaut au sein des composants « Microsoft JET Database Engine », « Windows Search », « Windows font library » et « Windows PDF Library ». En exploitant ces vulnérabilités, un attaquant était en mesure de prendre le contrôle du système.
Les vulnérabilités référencées CVE-2017-8593, CVE-2017-8624 et CVE-2017-8633 provenaient d’erreurs au sein des composants « Win32k, « Windows Error Reporting (WER) » et « Windows Common Log File System (CLFS) driver ». En exploitant ces vulnérabilités, un attaquant était en mesure d’élever ses privilèges.
La faille de sécurité référencée CVE-2017-0174 provenait d’un défaut dans le traitement des paquets NetBIOS au sein de Microsoft Windows. Son exploitation permettait à un attaquant de provoquer un déni de service.
Enfin, les vulnérabilités référencées CVE-2017-8666 et CVE-2017-8668 provenaient des composants « Win32k » et « Volume Manager Extension Driver ». En exploitant ces vulnérabilités, un attaquant était en mesure de dérober des informations sensibles.
Solution de Contournement
Il existe des solutions de contournement pour les vulnérabilités CVE-2017-0250 et CVE-2017-8620.
Pour la première, la solution de contournement consiste à restreindre l’exécution de Microsoft Jet Database Engine par une application via GPO.
Pour la seconde, il est possible de désactiver le service WSearch pour contourner la vulnérabilité.
Recommandation
Le CERT-XMCO recommande l’application des correctifs disponibles via le mécanisme de mise à jour automatique ou aux adresses suivantes :
* Pour Windows Server 2008 64 bits SP2 (KB4034744) :
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4034744
Redémarrage requis : oui
* Pour Windows Server 2008 R2 Itanium SP1 (KB4034679) :
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4034679
Redémarrage requis : oui
* Pour Windows Server 2008 R2 64 bits SP1 (Server Core installation) (KB4034679) :
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4034679
Redémarrage requis : oui
* Pour Windows Server 2008 Itanium SP2 (KB4034744) :
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4034744
Redémarrage requis : oui
* Pour Windows Server 2008 32 bits SP2 (Server Core installation) (KB4034744) :
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4034744
Redémarrage requis : oui
Référence(s)
https://support.microsoft.com/help/4034679
https://support.microsoft.com/help/4034744
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0174
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0250
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0293
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8593
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8620
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8624
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8633
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8666
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8668
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8691