Microsoft a publié des correctifs pour résoudre 73 failles de sécurité couvrant sa gamme de logiciels dans le cadre de ses mises à jour du Patch Tuesday de février 2024, y compris deux jours zéro qui ont été activement exploités.
Sur les 73 vulnérabilités, 5 sont classées critiques, 65 sont classées importantes et trois sont classées de gravité modérée. Ceci s’ajoute à 24 défauts qui ont été corrigés dans le navigateur Edge basé sur Chromium depuis la sortie des mises à jour du Patch Tuesday du 24 janvier.
Les deux failles répertoriées comme faisant l’objet d’une attaque active au moment de la publication sont ci-dessous –
- CVE-2024-21351 (score CVSS : 7,6) – Vulnérabilité de contournement de la fonctionnalité de sécurité Windows SmartScreen
- CVE-2024-21412 (score CVSS : 8,1) – Vulnérabilité de contournement de la fonctionnalité de sécurité des fichiers de raccourci Internet
« La vulnérabilité permet à un acteur malveillant d’injecter du code dans Écran intelligent et potentiellement obtenir l’exécution de code, ce qui pourrait potentiellement conduire à une certaine exposition des données, à un manque de disponibilité du système, ou aux deux », a déclaré Microsoft à propos de CVE-2024-21351.
Une exploitation réussie de la faille pourrait permettre à un attaquant de contourner les protections SmartScreen et d’exécuter du code arbitraire. Cependant, pour que l’attaque fonctionne, l’auteur de la menace doit envoyer à l’utilisateur un fichier malveillant et le convaincre de l’ouvrir.
CVE-2024-21412, de la même manière, permet à un attaquant non authentifié de contourner les contrôles de sécurité affichés en envoyant un fichier spécialement conçu à un utilisateur ciblé.
« Cependant, l’attaquant n’aurait aucun moyen de forcer un utilisateur à visualiser le contenu contrôlé par l’attaquant. » » a noté Redmond. « Au lieu de cela, l’attaquant devrait le convaincre d’agir en cliquant sur le lien du fichier. »
CVE-2024-21351 est le deuxième bug de contournement découvert dans SmartScreen après CVE-2023-36025 (score CVSS : 8,8), qui a été corrigé par le géant de la technologie en novembre 2023. La faille a depuis été exploitée par plusieurs groupes de hackers pour faire proliférer DarkGate, Phemadrone Stealer et Mispadu.
Trend Micro, qui a détaillé une campagne d’attaque entreprise par Water Hydra (alias DarkCasino) ciblant les traders des marchés financiers au moyen d’une chaîne d’attaque sophistiquée de type zero-day exploitant CVE-2024-21412, a décrit CVE-2024-21412 comme un contournement de CVE-2023. -36025, permettant ainsi aux acteurs malveillants d’échapper aux contrôles SmartScreen.
Water Hydra, détecté pour la première fois en 2021, a l’habitude de lancer des attaques contre des banques, des plateformes de crypto-monnaie, des services de trading, des sites de jeux d’argent et des casinos pour diffuser un cheval de Troie appelé DarkMe en utilisant des exploits zero-day, y compris la faille WinRAR révélée dans Août 2023 (CVE-2023-38831, score CVSS : 7,8).
À la fin de l’année dernière, la société chinoise de cybersécurité NSFOCUS a fait évoluer le groupe de hackers « motivés par des raisons économiques » vers une toute nouvelle menace persistante avancée (APT).
« En janvier 2024, Water Hydra a mis à jour sa chaîne d’infection en exploitant CVE-2024-21412 pour exécuter un fichier d’installation Microsoft malveillant (.MSI), rationalisant ainsi le processus d’infection DarkMe », Trend Micro dit.
Les deux vulnérabilités ont depuis été ajoutée aux vulnérabilités exploitées connues (KEV) catalogue de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), exhortant les agences fédérales à appliquer les dernières mises à jour d’ici le 5 mars 2024.
Cinq failles critiques ont également été corrigées par Microsoft :
- CVE-2024-20684 (score CVSS : 6,5) – Vulnérabilité de déni de service dans Windows Hyper-V
- CVE-2024-21357 (score CVSS : 7,5) – Vulnérabilité d’exécution de code à distance dans Windows Pragmatic General Multicast (PGM)
- CVE-2024-21380 (score CVSS : 8,0) – Vulnérabilité de divulgation d’informations dans Microsoft Dynamics Business Central/NAV
- CVE-2024-21410 (score CVSS : 9,8) – Vulnérabilité d’élévation de privilèges de Microsoft Exchange Server
- CVE-2024-21413 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance dans Microsoft Outlook
« CVE-2024-21410 est une vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable, dans un communiqué. « Cette faille est plus susceptible d’être exploitée par des attaquants selon Microsoft. »
« L’exploitation de cette vulnérabilité pourrait entraîner la divulgation du hachage Net-New Technology LAN Manager (NTLM) version 2 d’un utilisateur ciblé, qui pourrait être relayé vers un serveur Exchange vulnérable dans le cadre d’un relais NTLM ou d’une attaque par transmission de hachage, ce qui permettre à l’attaquant de s’authentifier en tant qu’utilisateur ciblé. »
La mise à jour de sécurité corrige en outre 15 failles d’exécution de code à distance dans le fournisseur Microsoft WDAC OLE DB pour SQL Server qu’un attaquant pourrait exploiter en incitant un utilisateur authentifié à tenter de se connecter à un serveur SQL malveillant via OLEDB.
Arrondir le patch est un correctif pour CVE-2023-50387 (score CVSS : 7,5), un défaut de conception vieux de 24 ans dans la spécification DNSSEC qui peut être exploité pour épuiser les ressources du processeur et bloquer les résolveurs DNS, entraînant un déni de service (DoS).
La vulnérabilité a été baptisée KeyTrap par le Centre national de recherche sur la cybersécurité appliquée (ATHENE) à Darmstadt.
« Ils ont démontré qu’avec un seul paquet DNS, l’attaque peut épuiser le processeur et bloquer toutes les implémentations DNS largement utilisées et les fournisseurs de DNS publics, tels que Google Public DNS et Cloudflare », ont déclaré les chercheurs. dit. « En fait, le populaire Implémentation du DNS BIND 9 peut être bloqué pendant 16 heures. »
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment :