Microsoft a publié mardi sa mise à jour de sécurité mensuelle, corriger 61 failles de sécurité différentes couvrant ses logiciels, y compris deux problèmes critiques affectant Windows Hyper-V qui pourraient conduire à un déni de service (DoS) et à l’exécution de code à distance.
Sur les 61 vulnérabilités, deux sont classées critiques, 58 sont classées importantes et une est classée de faible gravité. Aucune des failles n’est répertoriée comme étant publiquement connue ou faisant l’objet d’une attaque active au moment de la publication, mais six d’entre elles ont été étiquetées avec une évaluation « Exploitation plus probable ».
Les correctifs s’ajoutent à 17 failles de sécurité qui ont été corrigés dans le navigateur Edge basé sur Chromium de la société depuis la sortie des mises à jour du Patch Tuesday de février 2024.
En tête de liste des lacunes critiques figurent CVE-2024-21407 et CVE-2024-21408qui affectent Hyper-V et pourraient entraîner respectivement l’exécution de code à distance et une condition DoS.
La mise à jour de Microsoft corrige également les failles d’élévation de privilèges dans le conteneur confidentiel Azure Kubernetes Service (CVE-2024-21400score CVSS : 9,0), système de fichiers d’images composites Windows (CVE-2024-26170score CVSS : 7,8) et Authenticator (CVE-2024-21390, score CVSS : 7,1).
L’exploitation réussie de CVE-2024-21390 nécessite que l’attaquant ait une présence locale sur l’appareil via un logiciel malveillant ou une application malveillante déjà installée via un autre moyen. Cela nécessite également que la victime ferme et rouvre l’application Authenticator.
« L’exploitation de cette vulnérabilité pourrait permettre à un attaquant d’accéder aux codes d’authentification multifacteur pour les comptes de la victime, ainsi que de modifier ou supprimer des comptes dans l’application d’authentification, mais sans empêcher le lancement ou l’exécution de l’application », Microsoft dit dans un avis.
« Bien que l’exploitation de cette faille soit considérée comme moins probable, nous savons que les attaquants sont désireux de trouver des moyens de contourner l’authentification multifacteur », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable, dans un communiqué partagé avec The Hacker News.
« Avoir accès à un appareil cible est déjà assez mauvais car ils peuvent surveiller les frappes au clavier, voler des données et rediriger les utilisateurs vers des sites Web de phishing. Mais si l’objectif est de rester furtif, ils pourraient maintenir cet accès et voler des codes d’authentification multifacteur afin de se connecter. à des comptes sensibles, voler des données ou détourner complètement les comptes en changeant les mots de passe et en remplaçant le dispositif d’authentification multifacteur, bloquant ainsi l’accès de l’utilisateur à ses comptes.
Une autre vulnérabilité à noter est un bogue d’élévation de privilèges dans le composant Print Spooler (CVE-2024-21433score CVSS : 7,0) qui pourrait permettre à un attaquant d’obtenir les privilèges SYSTEM mais uniquement en remportant une condition de concurrence.
La mise à jour corrige également une faille d’exécution de code à distance dans Exchange Server (CVE-2024-26198score CVSS : 8,8) dont un acteur malveillant non authentifié pourrait abuser en plaçant un fichier spécialement conçu dans un répertoire en ligne et en incitant une victime à l’ouvrir, ce qui entraînerait l’exécution de fichiers DLL malveillants.
La vulnérabilité avec la note CVSS la plus élevée est CVE-2024-21334 (score CVSS : 9,8), qui concerne un cas d’exécution de code à distance affectant l’Open Management Infrastructure (OMI).
« Un attaquant distant non authentifié pourrait accéder à l’instance OMI depuis Internet et envoyer des requêtes spécialement conçues pour déclencher une vulnérabilité d’utilisation après libération », a déclaré Redmond.
« Le premier trimestre du Patch Tuesday 2024 a été plus calme que les quatre dernières années », a déclaré Narang. « En moyenne, 237 CVE ont été corrigés au premier trimestre de 2020 à 2023. Au premier trimestre 2024, Microsoft n’a corrigé que 181 CVE. Le nombre moyen de CVE corrigés en mars au cours des quatre dernières années était de 86. »
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :