Microsoft a publié des correctifs pour résoudre un total de 143 failles de sécurité dans le cadre de ses mises à jour de sécurité mensuelles, dont deux ont fait l’objet d’une exploitation active dans la nature.
Cinq des 143 failles sont jugées critiques, 136 sont jugées importantes et quatre sont jugées modérées. Les correctifs s’ajoutent à 33 vulnérabilités qui ont été traités dans le navigateur Edge basé sur Chromium au cours du mois dernier.
Les deux failles de sécurité qui ont été exploitées sont les suivantes :
- CVE-2024-38080 (Score CVSS : 7,8) – Vulnérabilité d’élévation des privilèges dans Windows Hyper-V
- CVE-2024-38112 (Score CVSS : 7,5) – Vulnérabilité d’usurpation d’identité de la plateforme Windows MSHTML
« Pour exploiter cette vulnérabilité avec succès, l’attaquant doit prendre des mesures supplémentaires avant de l’exploiter afin de préparer l’environnement cible », a déclaré Microsoft à propos de la vulnérabilité CVE-2024-38112. « Un attaquant devrait envoyer à la victime un fichier malveillant que celle-ci devrait exécuter. »
Haifei Li, chercheur en sécurité chez Check Point, à qui l’on attribue la découverte et le signalement de la faille en mai 2024, a déclaré que les acteurs de la menace exploitent des fichiers de raccourcis Internet Windows (.URL) spécialement conçus qui, en cliquant, redirigent les victimes vers une URL malveillante en invoquant le navigateur Internet Explorer (IE) désormais obsolète.
« Une astuce supplémentaire sur IE est utilisée pour masquer le nom d’extension malveillant .HTA », a déclaré Li expliqué« En ouvrant l’URL avec IE au lieu du navigateur moderne et beaucoup plus sécurisé Chrome/Edge sous Windows, l’attaquant a obtenu des avantages significatifs en exploitant l’ordinateur de la victime, bien que l’ordinateur exécute le système d’exploitation moderne Windows 10/11. »
« CVE-2024-38080 est une faille d’élévation de privilèges dans Windows Hyper-V », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable. « Un attaquant local authentifié pourrait exploiter cette vulnérabilité pour élever ses privilèges au niveau SYSTEM après une compromission initiale d’un système ciblé. »
Bien que les détails exacts entourant l’abus de CVE-2024-38080 soient actuellement inconnus, Narang a noté qu’il s’agit de la première des 44 failles Hyper-V à être exploitée dans la nature depuis 2022.
Deux autres failles de sécurité corrigées par Microsoft ont été répertoriées comme connues du public au moment de la publication. Il s’agit notamment d’une attaque par canal auxiliaire appelée Récupérer le banc (CVE-2024-37985, score CVSS : 5,9) qui pourrait permettre à un adversaire de visualiser la mémoire du tas à partir d’un processus privilégié exécuté sur des systèmes basés sur Arm.
La deuxième vulnérabilité divulguée publiquement en question est CVE-2024-35264 (Score CVSS : 8,1), un bug d’exécution de code à distance impactant .NET et Visual Studio.
« Un attaquant pourrait exploiter cette situation en fermant un flux http/3 pendant que le corps de la requête est en cours de traitement, ce qui entraînerait une situation de concurrence », a déclaré Redmond dans un avis. « Cela pourrait entraîner l’exécution de code à distance. »
Les mises à jour du Patch Tuesday ont également résolu 37 failles d’exécution de code à distance affectant le fournisseur OLE DB du client natif SQL Server, 20 vulnérabilités de contournement de la fonctionnalité de sécurité Secure Boot, trois bogues d’escalade de privilèges PowerShell et une vulnérabilité d’usurpation d’identité dans le protocole RADIUS (CVE-2024-3596 alias BlastRADIUS).
« [The SQL Server flaws] « Cela affecte spécifiquement le fournisseur OLE DB, donc non seulement les instances SQL Server doivent être mises à jour, mais le code client exécutant des versions vulnérables du pilote de connexion devra également être traité », a déclaré Greg Wiseman, chef de produit principal de Rapid7.
« Par exemple, un attaquant pourrait utiliser des tactiques d’ingénierie sociale pour tromper un utilisateur authentifié et l’amener à tenter de se connecter à une base de données SQL Server configurée pour renvoyer des données malveillantes, permettant ainsi l’exécution de code arbitraire sur le client. »
Pour compléter la longue liste de correctifs, CVE-2024-38021 (Score CVSS : 8,8), une faille d’exécution de code à distance dans Microsoft Office qui, si elle était exploitée avec succès, pourrait permettre à un attaquant d’obtenir des privilèges élevés, notamment des fonctionnalités de lecture, d’écriture et de suppression.
Morphisec, qui a signalé la faille à Microsoft fin avril 2024, a déclaré que la vulnérabilité ne nécessite aucune authentification et présente un risque grave en raison de sa nature sans clic.
« Les attaquants pourraient exploiter cette vulnérabilité pour obtenir un accès non autorisé, exécuter du code arbitraire et causer des dommages substantiels sans aucune interaction avec l’utilisateur », a déclaré Michael Gorelik. dit« L’absence d’exigences d’authentification rend cette pratique particulièrement dangereuse, car elle ouvre la porte à une exploitation généralisée. »
Les correctifs arrivent alors que Microsoft annoncé à la fin du mois dernier, elle a annoncé qu’elle commencerait à émettre des identifiants CVE pour les vulnérabilités de sécurité liées au cloud dans le but d’améliorer la transparence.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, d’autres fournisseurs ont également publié des mises à jour de sécurité au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :