Microsoft a livré mardi des correctifs pour résoudre un total de 90 failles de sécuritédont 10 zero-day, dont six ont fait l’objet d’une exploitation active dans la nature.
Parmi les 90 bugs, sept sont classés comme critiques, 79 comme importants et un comme modéré. Cela s’ajoute également à 36 vulnérabilités que le géant de la technologie a résolu dans son navigateur Edge depuis le mois dernier.
Les mises à jour du Patch Tuesday sont remarquables pour la correction de six zero-days activement exploités –
- CVE-2024-38189 (Score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance dans Microsoft Project
- CVE-2024-38178 (Score CVSS : 7,5) – Vulnérabilité de corruption de mémoire du moteur de script Windows
- CVE-2024-38193 (Score CVSS : 7,8) – Pilote de fonction auxiliaire Windows pour la vulnérabilité d’élévation de privilèges WinSock
- CVE-2024-38106 (Score CVSS : 7,0) – Vulnérabilité d’élévation des privilèges du noyau Windows
- CVE-2024-38107 (Score CVSS : 7,8) – Vulnérabilité d’élévation des privilèges du coordinateur de dépendances d’alimentation Windows
- CVE-2024-38213 (Score CVSS : 6,5) – Vulnérabilité de contournement de la fonctionnalité de sécurité Windows Mark of the Web
La faille CVE-2024-38213, qui permet aux pirates de contourner les protections SmartScreen, nécessite que l’attaquant envoie à l’utilisateur un fichier malveillant et le convainque de l’ouvrir. Peter Girnus de Trend Micro est à l’origine de la découverte et du signalement de la faille, suggérant qu’il pourrait s’agir d’un contournement pour les failles CVE-2024-21412 ou CVE-2023-36025, qui étaient auparavant exploitées par les opérateurs de malware DarkGate.
Cette évolution a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajouter les défauts de ses vulnérabilités connues exploitées (KEV) qui oblige les agences fédérales à appliquer les correctifs d’ici le 3 septembre 2024.
Quatre des CVE ci-dessous sont répertoriés comme étant connus du public :
- CVE-2024-38200 (Score CVSS : 7,5) – Vulnérabilité d’usurpation d’identité dans Microsoft Office
- CVE-2024-38199 (Score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance du service Windows Line Printer Daemon (LPD)
- CVE-2024-21302 (Score CVSS : 6,7) – Vulnérabilité d’élévation des privilèges en mode noyau sécurisé Windows
- CVE-2024-38202 (Score CVSS : 7,3) – Vulnérabilité d’élévation des privilèges de la pile de mises à jour Windows
« Un attaquant pourrait exploiter cette vulnérabilité en incitant une victime à accéder à un fichier spécialement conçu, probablement via un e-mail de phishing », a déclaré Scott Caveza, ingénieur de recherche chez Tenable, à propos de CVE-2024-38200.
« L’exploitation réussie de la vulnérabilité pourrait conduire la victime à exposer les hachages NTLM (New Technology Lan Manager) à un attaquant distant. Les hachages NTLM pourraient être utilisés de manière abusive dans des attaques de relais NTLM ou de transmission de hachage pour renforcer l’emprise d’un attaquant dans une organisation. »
La mise à jour corrige également une faille d’escalade de privilèges dans le composant Print Spooler (CVE-2024-38198score CVSS : 7,8), ce qui permet à un attaquant d’obtenir des privilèges SYSTEM. « Pour exploiter avec succès cette vulnérabilité, un attaquant doit remporter une condition de concurrence », a déclaré Microsoft.
Cela dit, Microsoft n’a pas encore publié de mises à jour pour CVE-2024-38202 et CVE-2024-21302, qui pourraient être utilisées pour lancer des attaques de rétrogradation contre l’architecture de mise à jour de Windows et remplacer les versions actuelles des fichiers du système d’exploitation par des versions plus anciennes.
La divulgation fait suite à une rapport de Fortra à propos d’une faille de déni de service (DoS) dans le pilote Common Log File System (CLFS) (CVE-2024-6768, score CVSS : 6,8) qui pourrait provoquer un plantage du système, entraînant un écran bleu de la mort (BSoD).
Contacté par The Hacker News, un porte-parole de Microsoft a déclaré que le problème « ne répond pas aux critères de réparation immédiate selon nos directives de classification de gravité et nous l’envisagerons pour une future mise à jour du produit ».
« La technique décrite nécessite qu’un attaquant ait déjà obtenu des capacités d’exécution de code sur la machine ciblée et n’accorde pas de permissions élevées. Nous encourageons les clients à adopter de bonnes habitudes informatiques en ligne, notamment en faisant preuve de prudence lors de l’exécution de programmes qui ne sont pas reconnus par l’utilisateur », a ajouté le porte-parole.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, d’autres fournisseurs ont également publié des mises à jour de sécurité au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :