Satnam Narang, Principal Research Engineer, chez Tenable commente :

« Ce mois-ci, le Patch Tuesday publié corrige 82 CVE, parmi lesquelles 10 sont jugées critiques. La publication comprend un correctif pour la CVE-2021-26411, une faille d’exécution de code à distance dans Microsoft Internet Explorer qui a été exploitée comme une vulnérabilité zero-day. Cette dernière est liée à une vulnérabilité révélée publiquement début février par des chercheurs d’ENKI, qui affirment qu’il s’agissait de l’une des vulnérabilités utilisées dans une campagne menée par des organisations offensives étatiques, afin de cibler les chercheurs en sécurité. Dans le blog ENKI, les chercheurs annoncent qu’ils publieront les détails de la preuve de concept (PoC) une fois le bug corrigé. Comme vu par le passé, une fois que les détails des PoC sont rendus publics, les cybercriminels les intègrent rapidement dans leurs méthodes d’attaque. Nous encourageons vivement toutes les organisations qui utilisent Internet Explorer et Microsoft Edge (basé sur EdgeHTML) à appliquer ces correctifs dès que possible.

Il est impératif que les organisations s’assurent qu’elles ont également appliqué les correctifs pour lutter contre Proxylogon et les autres zero-days liés à Microsoft Exchange, qui ont été divulgués la semaine dernière dans le cadre d’un avis hors Patch Tuesday, et que les organisations offensives étatiques et d’autres cybercriminels ont exploité dans la nature. En plus des correctifs, les organisations doivent absolument faire preuve de diligence raisonnable et rechercher des signes de compromission, afin de s’assurer que les attaquants n’ont pas compromis leurs réseaux. »

Pour compléter ce Patch Tuesday, Satnam Narang commente aussi ces failles découvertes dans Microsoft Exchange et corrigées par Microsoft en amont de cette diffusion mensuelle :

« Au moment où ces failles sont devenues publiques, cela a ouvert la boîte de Pandore, et les groupes qui exploitent en général ces failles ne sont plus les seuls à le faire. S’il est vrai que plus de 60 000 organisations ont été compromises, cela signifie qu’ils ont lancé cette attaque discrètement, suffisamment pour ne pas éveiller les soupçons.

En regardant l’approche des attaquants, il semble qu’ils ont essayé d’exploiter ces failles et de maintenir une persistance là où ils le pouvaient. Dans ce cas, les cybercriminels auraient eu recours à l’analyse et à l’exploitation automatisées pour capitaliser sur la vulnérabilité, avant que celle-ci ne soit corrigée. À ce stade, les attaquants savent que ces vulnérabilités ne sont plus exploitables. Par conséquent, avant qu’une organisation puisse les corriger, si les cybercriminels sont capables d’implanter avec succès un webshell, ils peuvent maintenir une persistance en supposant que l’organisation ne fait rien d’autre que d’appliquer les correctifs. Ainsi, le fait que la plupart des organisations n’appliquent pas de correctifs rapidement, voire pas du tout, reste un défi majeur.

Maintenant que ces vulnérabilités sont publiques, les entreprises peuvent prendre en compte les mesures d’atténuation de Microsoft, jusqu’à ce qu’elles soient capables d’appliquer les correctifs. Cependant, les correctifs restent le seul moyen de remédier définitivement à ces failles. »