Microsoft a récemment reconnu l’existence d’une vulnérabilité critique dans la connexion WMI affectant le protocole DCOM, qui permettait aux attaquants de contourner la sécurité du serveur DCOM, d’élever leurs privilèges et d’obtenir un accès non autorisé aux systèmes. Microsoft a publié une série de mises à jour de sécurité (KB5004442) au cours des deux dernières années, connues sous le nom de durcissement de DCOM, afin de résoudre le problème, qui a affecté diverses applications tierces utilisant le protocole DCOM, entraînant des échecs d’authentification et de demande.

Ce blog explique la vulnérabilité, discute des mesures prises par Microsoft pour surmonter la vulnérabilité et examine l’impact de ces mesures sur les applications basées sur WMI comme Applications Manager de ManageEngine.

 A propos de la vulnérabilité 

La vulnérabilité Windows DCOM Server Security Feature Bypass (CVE-2021-26414) permet aux attaquants d’élever leurs privilèges et d’obtenir un accès non autorisé à un système en exploitant la manière dont les connexions WMI sont établies via le protocole DCOM. Le modèle DCOM (Distributed Component Object Model) est un protocole de communication utilisé dans Windows pour la communication entre les composants logiciels des périphériques en réseau par le biais d’appels de procédure à distance (RPC), ce qui permet aux programmes logiciels de communiquer avec d’autres programmes et composants à travers un réseau. Cette vulnérabilité permet à des attaquants d’exploiter la connexion DCOM en se faisant passer pour un utilisateur et en élevant ses privilèges, ce qui compromet la sécurité du système.

 Renforcement de Windows DCOM : Solution de contournement de Microsoft pour remédier à la vulnérabilité 

Microsoft a adopté une approche progressive pour atténuer la vulnérabilité en publiant une série de mises à jour de sécurité en trois phases afin d’éviter les failles dans diverses applications basées sur WMI. Voici la liste des mises à jour de sécurité, connues sous le nom de durcissement de DCOM, qui ont été publiées par Microsoft :

Mise à jour de la version               

 Changement de comportement

8 juin 2021

Les paramètres de renforcement sont désactivés par défaut, mais il est possible de les activer à l’aide d’une clé de registre.

14 juin 2022

Les paramètres de renforcement sont activés par défaut, mais il est possible de les désactiver à l’aide d’une clé de registre.

14 mars 2023

Les paramètres de renforcement sont obligatoires et seront activés par défaut, sans possibilité de les désactiver. À ce stade, vous devez résoudre tout problème de compatibilité avec les changements de renforcement et les applications dans votre environnement.

 Impact du renforcement de DCOM sur Applications Manager 

De nombreuses applications basées sur Windows s’appuient sur des connexions WMI pour communiquer avec les systèmes Windows. Les applications qui nécessitent ces connexions sont généralement construites au-dessus de l’infrastructure WMI fournie par Windows, ce qui signifie qu’elles peuvent facilement être affectées par n’importe quel type de modification effectuée dans l’infrastructure WMI sous-jacente.

Maintenant que les mises à jour de sécurité de Microsoft ont renforcé les paramètres DCOM, ces changements ont un impact négatif sur diverses applications basées sur WMI, y compris Applications Manager. En raison de ces changements, les utilisateurs d’Applications Manager ont connu des échecs d’authentification et des échecs de requête lors de la surveillance des ressources basées sur WMI, ce qui a entraîné des problèmes de collecte de données. 

 Le correctif de renforcement de Microsoft DCOM 

Pour résoudre les impacts causés par le durcissement de Windows DCOM, Microsoft a publié le correctif Client-side request auto-elevation, qui automatise le processus d’élévation des niveaux d’autorisation des requêtes DCOM du client vers le serveur DCOM. Ce correctif garantit que les demandes d’établissement de connexions WMI ne sont autorisées qu’à partir d’applications explicitement autorisées à effectuer de telles demandes, ce qui empêche les attaquants de se faire passer pour un utilisateur disposant de privilèges élevés par le biais d’une connexion WMI. Le correctif gère automatiquement le processus d’autorisation, sans que les applications basées sur WMI aient besoin de modifier leur code existant pour gérer l’impact.

Voici la liste des mises à jour de sécurité qui ont été publiées ultérieurement dans le cadre du correctif de renforcement de Windows DCOM :

Mise à jour du calendrier 

 Changement de comportement

Novembre 2022

Cette mise à jour a automatiquement augmenté le niveau d’authentification de l’activation à l’intégrité des paquets. Cette modification a été désactivée par défaut sur Windows Server 2016 et Windows Server 2019.

Décembre 2022

Le changement de novembre a été activé par défaut pour Windows Server 2016 et Windows Server 2019. Cette mise à jour a également corrigé un problème qui affectait l’activation anonyme sur Windows Server 2016 et Windows Server 2019.

Janvier 2023

Cette mise à jour corrige un problème qui affectait l’activation anonyme sur les plateformes allant de Windows Server 2008 à Windows 10 (version initiale publiée en juillet 2015).

 Si vous avez installé les mises à jour de sécurité cumulatives à partir de janvier 2023 sur vos clients et serveurs, ils auront le dernier correctif auto-élévation entièrement activé. 

 Comment le correctif aide Applications Manager 

Maintenant que le correctif de renforcement DCOM de Microsoft gère automatiquement le processus d’autorisation, les applications basées sur WMI, telles que Applications Manager, peuvent plus facilement surmonter l’impact causé par le renforcement DCOM et contribuer à réduire les problèmes de compatibilité. Lorsque Applications Manager tente de se connecter à un serveur Windows distant, le serveur installé dans Applications Manager agit en tant que client DCOM, tandis que le serveur distant agit en tant que serveur DCOM. Cela permet à Applications Manager de continuer à fonctionner normalement et garantit que les connexions WMI sont établies sans qu’il soit nécessaire de procéder à des modifications manuelles.

 Conclusion   

Les mises à jour de renforcement de Windows DCOM publiées par Microsoft ont eu un impact significatif sur les applications qui utilisaient des connexions WMI pour communiquer avec les systèmes Windows. Ces mises à jour entraînent des échecs d’authentification et de requête lors de la surveillance des ressources basées sur WMI, ce qui provoque des problèmes de collecte de données dans Applications Manager. Toutefois, le correctif d’élévation automatique des requêtes côté client publié par Microsoft fait office de sauveur en gérant automatiquement le processus d’autorisation, ce qui permet aux applications dépendantes de fonctionner normalement.

Nous recommandons vivement aux utilisateurs du Application manager d’appliquer le correctif dans leurs environnements Windows afin de garantir la sécurité et l’intégrité de leurs systèmes. Veillez également à vous tenir au courant des mises à jour et des correctifs de renforcement de DCOM publiés par Microsoft, et installez-les dès que possible pour bénéficier d’une protection avancée contre les dernières menaces de sécurité.

Source : Microsoft DCOM hardening and its impact on Applications Manager by Arshad Shariff