Treat : Systèmes Non Patché (générique)

Systèmes non corrigés (générique)

Les systèmes non corrigés sont des programmes pour lesquels un correctif logiciel qui modifie un système, une application ou un autre programme est indisponible ou n’a pas été appliqué. Les systèmes, au sens le plus large du terme, subissent plusieurs cycles de développement et modifications au cours de leur cycle de vie. Les correctifs peuvent contenir des corrections de bugs simples en termes de fonctionnalité ou introduire des changements majeurs au programme. Contrairement aux versions correctes, les correctifs sont publiés assez fréquemment, traitant les lacunes et les problèmes ainsi que les vulnérabilités.

Empiriquement, le manque de correctifs et / ou d’utilisateurs ne les appliquant pas est considéré comme un risque majeur en matière de sécurité de l’information et de cybersécurité. Ceci est principalement dû au fait que « non corrigé » est équivalent à « connu », créant des opportunités pratiques pour attaquer ces faiblesses connues.

En pratique, les correctifs traitent souvent des vulnérabilités liées à la sécurité et, pour la plupart des systèmes, ils ont tendance à être publiés très rapidement après la divulgation de la vulnérabilité au développeur de logiciels ou au grand public. Cependant, les exploits commerciaux ou open source pour des vulnérabilités connues ont tendance à apparaître à un rythme encore plus rapide, parfois seulement quelques heures après la publication d’une preuve de concept. Ceci, à son tour, crée un besoin commercial important pour appliquer des correctifs dès qu’ils deviennent disponibles.

Un aperçu suit des différentes couches auxquelles le rapiéçage a lieu. La dernière section fournit des exemples pratiques de correctifs et le risque d’exécution d’applications, de systèmes ou de couches inférieures non corrigés.

COUCHE D’APPLICATION

La plupart des environnements informatiques exploitent un nombre relativement important d’applications, à la fois en amont et au niveau de l’utilisateur final. Le type d’application que l’on trouve dans les configurations types va des outils de productivité aux jeux et aux clients ou agents en nuage. Des preuves empiriques montrent que beaucoup de ces applications sont souvent sujettes à des correctifs tardifs ou inexistants. Le risque qui en résulte appartient généralement à l’une ou aux deux catégories suivantes:

Le fournisseur ou le distributeur tarde à corriger les vulnérabilités connues – Des correctifs inadéquats ou peu fréquents émis pour les applications exposent les utilisateurs à des attaques et à des attaques intermittentes une fois que les vulnérabilités sont devenues des problèmes connus.
Retard ou ignorance des utilisateurs en ce qui concerne l’application de correctifs existants – Les correctifs tardifs ou inexistants par l’utilisateur final créent des fenêtres d’exposition et augmentent le risque de devenir victime d’attaques par balayage typiques analysant des millions d’appareils en présence de vulnérabilités connues.
Un cas spécifique mais fréquemment observé est l’utilisation continue de logiciels en fin de vie qui n’est plus supporté par le fournisseur / distributeur. Dans certains cas, cela est dû au recours à des logiciels obsolètes ou hérités à des fins commerciales, tandis que dans d’autres cas, des stratégies d’économies de coûts mal conçues entraînent le vieillissement et l’obsolescence de la couche applicative installée. Quelles que soient les raisons sous-jacentes, les applications non prises en charge représentent une part importante des attaques réussies.

COUCHE DE MIDDLEWARE

Presque tous les environnements informatiques reposent sur une large base de middleware pour prendre en charge des applications communes, à la fois localement et dans le cloud. Un certain nombre de normes communes ont émergé au fil du temps avec une base installée de millions de cas. Encore une fois, des preuves empiriques indiquent que les logiciels médiateurs sont souvent rarement ou pas du tout corrigés, ce qui crée des vulnérabilités et entraîne des attaques généralisées exploitant ces vulnérabilités. Un risque supplémentaire provient du fait que la plupart des utilisateurs (parfois même des administrateurs) ignorent les parties non patchées des couches de middleware typiques, étant donné que ces plates-formes fonctionnent souvent sur le principe de « ne jamais toucher un système en cours d’exécution ». Le problème des versions de fin de vie des intergiciels populaires est connu et assez ré

  • Moteurs et plates-formes de base de données-De nombreuses plates-formes de base de données couramment utilisées sont soumises à des correctifs fréquents et à de fréquentes nouvelles versions, ce qui oblige les administrateurs et les utilisateurs à maintenir un régime de correctifs rigoureux.
  • Environnements de programmation et d’exécution – Les bibliothèques communes, la prise en charge des scripts et d’autres logiciels médiateurs standard en tant que base pour les applications courantes sont soumis à des correctifs fréquents et à de nouvelles versions.
  • Activateurs de cloud et piles de connectivité – En pratique, ces composants résidents sont souvent considérés comme allant de soi mais ont été reconnus comme un risque important s’ils n’étaient pas corrigés.
  • Plug-ins et extensions de navigateur et de client de messagerie: ces derniers doivent être automatiquement corrigés et maintenus dans un état à jour; Cependant, de nombreux utilisateurs finaux ne surveillent pas cela, créant des fenêtres d’opportunité pour les attaques par le biais de problèmes connus dans les fonctionnalités basées sur le navigateur.

COUCHE DU SYSTÈME D’EXPLOITATION

La plupart des systèmes d’exploitation actuellement utilisés reposent sur des cycles de correctifs fréquents et réguliers, souvent complétés par des correctifs d’urgence. Malgré ce régime strict, il y a un risque important de vulnérabilités et d’attaques qui en résultent:

  • Vulnérabilités héritées, souvent trouvées dans les parties morte du code
  • Vulnérabilités systémiques résultant d’architectures héritées ou obsolètes et rétrocompatibilité
  • « Oeufs de Pâques », qui fournissent des fonctionnalités non essentielles et parfois sans rapport
  • Programmation puissante ou langages de macro fournis avec la plupart des systèmes d’exploitation (et applications standard)
  • Vulnérabilités contestées qui sont rejetées par le distributeur du système d’exploitation puis publiées
  • caractéristiques à risque dans les systèmes d’exploitation qui nécessitent l’utilisateur final ou l’interaction administrative
  • Poursuite de l’utilisation de systèmes d’exploitation obsolètes (non plus corrigés), souvent en raison des restrictions imposées par les applications héritées

Les risques et les menaces sur la couche du système d’exploitation affectent généralement un très grand nombre de périphériques et d’utilisateurs finaux, ce qui amplifie l’impact des attaques ou des exploits. En pratique, les images non corrigées sont responsables de nombreuses violations et intrusions réussies. Lorsque les entreprises exploitent un logiciel développé par elles-mêmes, cela est souvent lié à des versions obsolètes du système d’exploitation sous-jacent, et il est possible que les écarts d’air ne soient pas disponibles ou pris en compte.

Dans les systèmes d’exploitation mobiles, les risques et les menaces sont significativement plus élevés car la fréquence des correctifs et des versions est beaucoup plus faible. Les systèmes d’exploitation mobiles populaires peuvent recevoir des correctifs de mise à jour tous les trimestres ou tous les mois, mais pas aussi fréquemment que les versions pour ordinateur de bureau / ordinateur portable.

COUCHE FIRMWARE

The variety of devices now available and in use in the marketplace has led to a large number of firmware images supporting the lower level of a device. In contrast to desktop/laptop environments that typically use a finite set of firmware images, mobile devices and embedded systems tend to be much more proprietary in nature. Where compatibility is not an issue, data and information exchange takes place through higher levels such as operating system, standardized storage or tailored applications.

As a result of the large number of potential targets, there is a risk of compromise at the firmware level. Typically, this denotes a more sophisticated attacker and/or criminal intent, given that analyzing, reengineering and modifying the firmware will incur significant effort.

Firmware, in itself, is updated infrequently and mostly as a result of technical deficiencies or malfunctions. Where known issues and vulnerabilities exist, the window of opportunity for exploiting them is usually wider than for applications or operating systems.

EXEMPLES DE SYSTEMES NON PATCHE

Le tableau suivant fournit un certain nombre d’exemples typiques de systèmes non corrigés et d’impacts connexes. Beaucoup d’autres exemples existent. Les systèmes non corrigés sont toujours l’un des principaux points d’entrée pour les attaques et la cybercriminalité.

CASE DESCRIPTION REMARKS
ColdFusion (2013) Exploitation d’une vulnérabilité non corrigée dans une fonction d’administration côté serveur. Cela a donné lieu à plusieurs attaques contre des institutions gouvernementales qui ont eu un impact commercial important. Un exemple d’une vulnérabilité de couche d’application typique causée par des systèmes non corrigés. Les attaques successives ont eu un succès inattendu, compte tenu de la prévalence de ColdFusion et du nombre de serveurs non patchés.
Adobe Flash Player (2015) Une vulnérabilité appelée CVE-2015-0313; malvertising (publicité malveillante) fournissant des annonces infectées avec la charge utile Exemple d’incident de système non corrigé de couche application / couche middleware, entraînant un grand nombre d’utilisateurs finaux affectés
Microsoft Office (2015) An example of Microsoft Office-related vulnerability known as CVE-2015-1650. A prepared Office document or file contains the payload that will gain full control of the target system. Un exemple de vulnérabilité typique d’un logiciel d’application pour utilisateur final avec disponibilité rapide des correctifs. Ce type de vulnérabilité ne devrait normalement pas avoir d’impact généralisé en raison du déploiement automatique de correctifs et de mises à jour par le distributeur de logiciels.
Microsoft .net Framework (2014) Exemple de vulnérabilité liée aux middlewares connue sous le nom de CVE-2014-4149. Un ensemble de données préparé est envoyé à un point de terminaison distant .net et obtient le contrôle total du système cible. Exemple d’une vulnérabilité type middleware avec des correctifs modérés à très rapides. Ce type de vulnérabilité ne serait normalement pas visible pour un utilisateur final, et sans correction automatique, il pourrait y avoir un impact significatif.
Microsoft Windows 8.1 (2015) Un exemple d’une vulnérabilité de système d’exploitation connue sous le nom CVE 2015-1635 attaquant via http.sys et exécutant du code sur la machine cible Un exemple d’une vulnérabilité typique de la couche du système d’exploitation avec une correction très rapide (le jour suivant). Ce type de vulnérabilité a généralement un impact très limité.
Red Hat Linux (2007) Un exemple de vulnérabilité basée sur Linux avec un contrôle total grâce à la création d’un dépassement de mémoire tampon et à l’utilisation d’Open Office en tant que véhicule Un exemple de vulnérabilité de la couche du système d’exploitation avec des correctifs lents (plusieurs semaines), impliquant également un progiciel de bureau open source populaire
Google Android (2015) Un exemple de vulnérabilité de système d’exploitation mobile utilisant des débordements de tampon et permettant un contrôle total ou un refus de service Un exemple typique de lenteur des correctifs dans un environnement de système d’exploitation mobile (exploit publié en février et corrigé en avril). Ce type de problème de système non corrigé ciblait potentiellement un très grand nombre d’utilisateurs finaux pendant une période prolongée.
Système d’exploitation Apple iPhone(2014) Un exemple d’une vulnérabilité de système mobile connue sous le nom CVE-2014-4461, attaquant au niveau du noyau pour obtenir le contrôle total de l’appareil Un exemple typique de lenteur des correctifs dans un environnement de système d’exploitation mobile (exploit connu en novembre 2014, corrigé en février 2015). Ce type de problème de système non corrigé ciblait potentiellement un très grand nombre d’utilisateurs finaux pendant une période prolongée.
D-Link routers (2015) Une ouverture de vulnérabilité de microprogramme attaque les points d’entrée dans les scénarios de réseau local et distant; compromis de commande ping supplémentaire Un exemple typique de vulnérabilité de firmware avec des correctifs assez lents, ciblant une classe de routeurs domestiques et de petites entreprises particulièrement populaires en Europe

En pratique, la plupart des vulnérabilités sont classées et cataloguées dans des bases de données accessibles au public, y compris des données sur la criticité, l’impact potentiel et les exploits réels.

Tagged with:
%d blogueurs aiment cette page :