VMWARE: La société fournit des correctifs pour les derniers failles découvertes lors...

VMWARE: La société fournit des correctifs pour les derniers failles découvertes lors du concours de hacking

85
0

Plusieurs correctifs viennent d’être livrés par VMware pour les quatre failles, mises en évidence lors du dernier concours de hacking Pwn2Own, et qui peuvent être exploitées pour rompre l’isolement des machines virtuelles. Les correctifs s’appliquent aux logiciels ESXi, Workstation Pro, Workstation Player et Fusion. Les deux premières vulnérabilités (CVE-2017-4902 et CVE-2017-4903) ont été démontrées par une équipe de la firme de sécurité chinoise Qihoo 360 il y a deux semaines sur Pwn20wn. Leur chaîne d’intrusion a démarré avec un navigateur Microsoft Edge compromis, avant de passer au kernel Windows puis d’exploiter les deux failles pour s’échapper d’une machine virtuelle et exécuter du code sur le système d’exploitation hôte. Cette présentation a valu aux chercheurs de remporter 105 000 dollars.

Le concours Pwn2Own est organisé par le programme Zero Day Initiative de Trend Micro. Il s’est déroulé du 15 au 17 mars, pendant la conférence CanSecWest, à Vancouver. Les chercheurs en sécurité qui y participent reçoivent des prix en numéraire pour leurs démonstrations zéro day présentant des failles jusqu’alors inconnues. Celles-ci sont exploitées à travers des navigateurs, des OS et d’autres logiciels, parmi les plus couramment utilisés dans les entreprises. Cette année, les organisateurs du concours ont ajouté des prix portant sur l’exploitation de vulnérabilités dans les hyperviseurs comme Workstation de VMware et Hyper-V de Microsoft. Une deuxième équipe a relevé le défi, constituée de chercheurs des divisions Keen Lab et PC Manager du fournisseur de services Internet Tencent. C’est elle qui a exploité les deux autres failles corrigées cette semaine par VMware : CVE-2017-4904 et CVE-2017-4905. Cette dernière vulnérabilité porte sur une fuite d’information en mémoire. Considérée comme modérée, elle pourrait néanmoins aider des pirates à réussir une attaque plus sérieuse.

Corriger Workstation jusqu’à 12.5.5 et ESXi 5.5 à 6.5

VMware conseille à ses utilisateurs de corriger Workstation jusqu’à la version 12.5.5 sur toutes les plateformes et Fusion jusqu’à la version 8.5.6 sur macOS (OS X). Ces correctifs distincts sont également disponibles pour ESXi 6.5, 6.0 U3, 6.0 U2, 6.0 U1 et 5.5, si nécessaire. Les machines virtuelles sont souvent utilisées pour créer des environnements qui n’entraîneront aucune menace pour le système d’exploitation en cas de compromission. Par exemple, les experts de sécurité spécialisés sur les malwares exécutent du code malveillant ou visitent des URL suspectes à l’intérieur des machines virtuelles afin  d’observer leur comportement.

Les entreprises font également tourner de nombreuses applications au sein de machines virtuelles pour limiter l’impact potentiel si elles sont attaquées. L’un des rôles principaux d’hyperviseurs comme Workstation est de créer une barrière entre l’OS invité qui s’exécute au sein de la machine virtuelle et l’OS hôte dans lequel tourne l’hyperviseur. C’est la raison pour laquelle les exploits « d’évasion » de VM sont très prisés parmi les hackers.

81% des failles corrigées le jour de leur révélation

En 2016, près de 17 150 vulnérabilités ont été identifiées dans 2 136 logiciels de 246 éditeurs soit une augmentation de 6% par rapport à l’année dernière, selon le rapport 2017 de Flexera Software. Plus de 4 failles sur 5 ont été corrigées par leur éditeur le jour même où elles ont été publiquement révélées.

Selon le rapport 2017 de Flexera Software, les failles identifiées comme critiques ont représenté 72,5% des vulnérabilités repérées dans les 50 logiciels les plus utilisés. (crédit : Secunia Research)
Selon le rapport 2017 de Flexera Software, les failles identifiées comme critiques ont représenté 72,5% des vulnérabilités repérées dans les 50 logiciels les plus utilisés. (crédit : Secunia Research)

En 2016, 92,5% des failles détectées dans les 50 logiciels les plus populaires ont reçu un correctif de la part de leurs éditeurs dès le premier jour de leur révélation. Pour l’ensemble des vulnérabilités identifiées, la proportion de correctifs reçus aussi rapidement descend à 81%. C’est ce qu’indique le rapport 2017 sur les vulnérabilités logicielles publié par le fournisseur de solutions de sécurité Flexera Software, à partir des données de sa filiale Secunia Research. Cette synthèse souligne aussi que le lecteur PDF d’Adobe présente un fort taux de vulnérabilités non corrigées. Or, ce dernier est à la 31e place des logiciels les plus utilisés, installé sur 40% des ordinateurs personnels.

Au total, le rapport 2017 de Secunia décompte 17 147 vulnérabilités sur l’année dernière, repérées dans 2 136 logiciels provenant de 246 éditeurs. Cela représente une augmentation de 6% par rapport à 2015. Toutefois, Secunia précise s’être cette fois concentrée sur les fournisseurs et produits gérés dans les environnements qu’elle suit, ce qui a réduit de 14% le nombre de produits pris en compte. Si l’on considère son Top 50 des 50 logiciels les plus couramment trouvés sur les ordinateurs, dont 35 produits Microsoft, on constate une baisse de 21% du nombre de vulnérabilités découvertes en 2016 par rapport à 2015, soit 1 626 failles dans 25 produits édités par 7 vendeurs auxquels s’ajoutent l’OS le plus utilisé, Windows 7.

Légère baisse des failles zero-day en 2016 par rapport à 2015

Le nombre de faille hautement critiques et extrêmement critiques a représenté 72,5% des vulnérabilités du Top 50 étudié par Secunia Research en 2016. Le nombre de vulnérabilités zero-day est un peu inférieur à celui de 2015 : 22 ont été découvertes l’an dernier contre 16 en 2015. Majoritaires dans ce top 5, les logiciels de Microsoft ne sont en revanche concernés que par 22,5% des failles.

Sur l’ensemble des logiciels examinés par le rapport 2017 de Flexera Software, le nombre de failles hautement et extrêmement critiques s’établit à 18,5% contre 72,5% pour les logiciels du Top 50. (crédit : Secunia Research)

A noter que, malgré la réaction généralement rapide des éditeurs sur les correctifs, le taux de failles corrigées ne progresse que de 1% au bout de 30 jours. Secunia l’explique par la variété des terminaux que les entreprises et organisations doivent gérer, dont certains ne sont pas régulièrement connectés à des réseaux professionnels. Parmi les évolutions notables, Secunia signale une hausse de 27,7% par rapport à 2015 sur les failles (713 en 2016) repérées dans les 5 navigateurs les plus utilisés : Google Chrome, Mozilla Firefox, Internet Explorer, Opera et Safari.

Source

LAISSER UN COMMENTAIRE