CVE-2017-0016, CVE-2017-0037, CVE-2017-0038 sont trois vulnérabilités Microsoft a récemment découvert qui mettent en lumière une fois de plus à l'emploi de la protection du système de prévention des intrusions (IPS), comme l'a souligné par les chercheurs TrendMicro. IPS, également connu sous le Patching virtuel, aide à protéger contre les vulnérabilités, même dans les cas où patchés n'a pas encore été publié. Les trois défauts Microsoft étaient situés dans les composants suivants: service SMB de base, Internet Explorer et les navigateurs Edge, et l'interface Graphics Device.
Qu'est-ce que Patching virtuel (IPS)?
Comme l'explique TechTarget , patching virtuel est le développement et à court terme mise en œuvre rapide d'une politique de sécurité destiné à empêcher un exploit de se produire à la suite d'un bogue de sécurité nouvellement trouvé.
Un patch virtuel est parfois surnommé un pare-feu d'application Web (WAF). Plus important, un patch virtuel protège les composants critiques qui doivent rester en ligne. De cette façon, les opérations importantes ne seront pas interceptés comme il arrive quand un patch classique est appliqué dans une situation d'urgence.
en relation: Flaw ESET CVE-2016-9892 Expose Mac à l'exécution de code à distance
chercheurs TrendMicro soulignent l'importance de patchs virtuels comme un moyen d'atténuation contre CVE-2017-0016, CVE-2017-0037, CVE-2017-0038, en l'absence de patchs.
CVE-2017-0016: Regarder de plus près
La faille est une corruption de mémoire et un est situé dans la façon dont Windows gère le trafic SMB. Pour qu'une attaque se produise le système doit être connecté à un serveur SMB malveillant qui serveurs paquets amener l'ordinateur à planter. Preuve de concept de code d'exploitation a déjà été fait pour celui-ci, et son Disponible publiquement.
Heureusement, le défaut ne permet pas l'exécution de code à distance et ne peut conduire à un déni de service. En termes d'atténuation, TrendMicro chercheurs conseiller le suivant:
– Limiter l'accès sortant sur les ports 139 et 445.
– Déployer la protection IPS.
CVE-2017-0037: En détail
Ce défaut est un défaut type de confusion dans Internet Explorer et les navigateurs Edge. Pour la faille à exploiter, l'attaquant aurait besoin de rendre l'utilisateur vers un lien web malveillant généralement envoyé par email ou chat, ou incorporé dans un document.
Le résultat d'une CVE-2017-0037 exploiter est l'exécution de code arbitraire avec les mêmes privilèges que l'utilisateur connecté.
en relation: 15,000 Vulnérabilités Catalogué dans 2016, Flaws CVE Dépassé
Les chercheurs conseillent les éléments suivants à des fins d'atténuation:
– Déployer la protection IPS
– filtrage E-mail pour les attaques de phishing
– Web Reputation aux scripts de blocs hébergé
– Réduire les comptes avec les droits d'administrateur pour réduire les risques
CVE-2017-0038: En détail
Ceci est une faille dans le composant Device Interface graphique de Windows OS. Un attaquant aurait besoin d'attirer l'utilisateur pour rendre une police ou une image qui pourrait être incorporé dans un document. Cela pourrait se produire par e-mail où une pièce jointe malveillante est servi, ou par l'intermédiaire des services de partage de fichiers.
Le résultat d'une exploitation réussie ici est la divulgation de la mémoire se termine généralement avec la fuite d'informations sensibles. atténuations disponibles incluent:
– Déployer la protection IPS.
– Former les employés à ne pas ouvrir les pièces jointes, et d'ouvrir des liens provenant de sources de confiance.