La Cybersecurity and Infrastructure Security Agency (CISA) a ordonné aux agences fédérales de corriger leurs systèmes contre une vulnérabilité Windows activement exploitée qui permet aux attaquants d’obtenir des privilèges SYSTEM.
Conformément à une directive opérationnelle contraignante (BOD 22-01) publiée en novembre et à l’annonce d’aujourd’hui, toutes les agences fédérales civiles du pouvoir exécutif (FCEB) sont désormais tenues de corriger tous les systèmes contre cette vulnérabilité, suivie comme CVE-2022-21882 dans un délai de deux semaines, jusqu’au 18 février.
Bien que le BOD 22-01 ne s’applique qu’aux agences FCEB, la CISA exhorte vivement toutes les organisations des secteurs privé et public à réduire leur exposition aux cyberattaques en cours en adoptant cette directive et en donnant la priorité à l’atténuation des vulnérabilités incluses dans son catalogue de failles de sécurité activement exploitées.
« CISA a ajouté une nouvelle vulnérabilité à son catalogue de vulnérabilités exploitées connues, sur la base de preuves que les acteurs de la menace exploitent activement les vulnérabilités répertoriées dans le tableau ci-dessous », a déclaré l’agence de cybersécurité. mentionné aujourd’hui.
« Ces types de vulnérabilités sont un vecteur d’attaque fréquent pour les cyber-acteurs malveillants de tous types et présentent un risque important pour l’entreprise fédérale. »
Vérifier @CISAgovde la dernière mise à jour du catalogue des vulnérabilités exploitées connues ! Nous recommandons aux entreprises fédérales et aux organisations privées d’atténuer ces types de vulnérabilités dès que possible. https://t.co/0NxWGOFrCL #La cyber-sécurité #InfoSec pic.twitter.com/Tu7MoTEETC
— US-CERT (@USCERT_gov) 4 février 2022
Après avoir exploité la faille d’élévation des privilèges locaux Win32k, les pirates disposant d’un accès limité aux appareils compromis peuvent utiliser les droits d’utilisateur nouvellement obtenus pour se propager latéralement au sein du réseau, créer de nouveaux utilisateurs administrateurs ou exécuter des commandes privilégiées.
Selon l’avis de Microsoft, « un attaquant local authentifié pourrait obtenir des privilèges système ou administrateur locaux élevés grâce à une vulnérabilité dans le pilote Win32k.sys ».
Cette vulnérabilité affecte les systèmes exécutant Windows 10 1909 ou version ultérieure, Windows 11 et Windows Server 2019 et versions ultérieures sans les mises à jour Patch Tuesday de janvier 2022.
Le bug est également un contournement d’un autre bug d’escalade de privilèges Windows Win32k (CVE-2021-1732), une faille zero-day corrigée en février 2021 et activement exploitée dans des attaques depuis au moins l’été 2020.
EZpublish-france.fr a également testé un exploit ciblant cette vulnérabilité et n’a rencontré aucun problème pour compiler l’exploit et l’utiliser pour ouvrir le Bloc-notes avec les privilèges SYSTEM sur un système Windows 10 (l’exploit ne fonctionnait pas sur Windows 11).
L’avertissement de la CISA arrive à point nommé, car de nombreux administrateurs ont ignoré les mises à jour de janvier 2022 en raison de bugs critiques introduits par les mises à jour de sécurité Patch Tuesday du mois dernier.
Ces problèmes connus incluent les redémarrages, les problèmes de VPN L2TP, les volumes ReFS inaccessibles et les problèmes Hyper-V résolus dans les mises à jour d’urgence hors bande (OOB) publiées le 17 janvier.
En ne déployant pas ces correctifs, ceux qui ont ignoré la mise à jour laissent les appareils sur leurs réseaux sans protection et vulnérables aux attaques exploitant cette faille, étiquetée par Microsoft comme une vulnérabilité de gravité importante.