Microsoft a résolu un total de 48 failles de sécurité couvrant son logiciel dans le cadre de ses mises à jour du Patch Tuesday de janvier 2024.
Sur les 48 bogues, deux sont classés critiques et 46 sont classés importants en termes de gravité. Il n’y a aucune preuve que l’un des problèmes soit publiquement connu ou fasse l’objet d’une attaque active au moment de la sortie, ce qui en fait le deuxième Patch Tuesday consécutif sans zéro jour.
Les correctifs s’ajoutent à neuf failles de sécurité qui ont été résolus dans le navigateur Edge basé sur Chromium depuis la publication des mises à jour du Patch Tuesday de décembre 2023. Cela inclut également un correctif pour un zero-day (CVE-2023-7024, score CVSS : 8,8) qui, selon Google, a été activement exploité dans la nature.
Les failles les plus critiques corrigées ce mois-ci sont les suivantes :
- CVE-2024-20674 (score CVSS : 9,0) – Vulnérabilité de contournement de la fonctionnalité de sécurité Kerberos de Windows
- CVE-2024-20700 (score CVSS : 7,5) – Vulnérabilité d’exécution de code à distance Windows Hyper-V
« La fonctionnalité d’authentification pourrait être contournée car cette vulnérabilité permet l’usurpation d’identité », a déclaré Microsoft dans un avis concernant CVE-2024-20674.
« Un attaquant authentifié pourrait exploiter cette vulnérabilité en établissant une attaque de machine au milieu (MitM) ou une autre technique d’usurpation d’identité du réseau local, puis en envoyant un message Kerberos malveillant à la machine client victime pour se faire passer pour le serveur d’authentification Kerberos. »
Cependant, la société a noté qu’une exploitation réussie nécessite qu’un attaquant accède d’abord au réseau restreint. Chercheur en sécurité ldwilmore34 a été crédité de la découverte et du signalement de la faille.
CVE-2024-20700, en revanche, ne nécessite ni authentification ni interaction de l’utilisateur pour réaliser l’exécution de code à distance, bien que gagner une condition de concurrence critique soit une condition préalable à l’organisation d’une attaque.
« Il n’est pas clair exactement où l’attaquant doit se trouver – le réseau local sur lequel réside l’hyperviseur, ou un réseau virtuel créé et géré par l’hyperviseur – ni dans quel contexte l’exécution du code à distance aurait lieu », Adam Barnett, responsable des logiciels. ingénieur chez Rapid7, a déclaré à The Hacker News.
D’autres défauts notables incluent CVE-2024-20653 (score CVSS : 7,8), une faille d’élévation de privilèges impactant le pilote Common Log File System (CLFS), et CVE-2024-0056 (score CVSS : 8,7), un contournement de sécurité affectant System.Data.SqlClient et Microsoft.Data.SqlClient.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait mener une attaque de type machine-in-the-middle (MitM) et pourrait décrypter et lire ou modifier le trafic TLS entre le client et le serveur », a déclaré Redmond.
Microsoft a en outre indiqué qu’il désactivait par défaut la possibilité d’insérer des fichiers FBX dans Word, Excel, PowerPoint et Outlook sous Windows en raison d’une faille de sécurité (CVE-2024-20677score CVSS : 7,8) pouvant conduire à l’exécution de code à distance.
« Les modèles 3D dans les documents Office précédemment insérés à partir d’un fichier FBX continueront à fonctionner comme prévu à moins que l’option ‘Lien vers le fichier’ n’ait été choisie au moment de l’insertion », a déclaré Microsoft dans un communiqué. alerte séparée. « GLB (Binary GL Transmission Format) est le format de fichier 3D de remplacement recommandé pour une utilisation dans Office. »
Il convient de noter que Microsoft a pris une mesure similaire en désactivant le format de fichier SketchUp (SKP) dans Office après Découverte par ZScaler de 117 failles de sécurité dans les applications Microsoft 365.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :