Microsoft mardi divulgué que trois nouvelles failles de sécurité affectant la plateforme Windows ont été activement exploitées dans le cadre de sa mise à jour Patch Tuesday de septembre 2024.
La mise à jour de sécurité mensuelle corrige un total de 79 vulnérabilités, dont sept sont classées comme critiques, 71 comme importantes et une comme modérée. 26 défauts que le géant de la technologie a résolu dans son navigateur Edge basé sur Chromium depuis la sortie du Patch Tuesday du mois dernier.
Les trois vulnérabilités qui ont été exploitées dans un contexte malveillant sont répertoriées ci-dessous, ainsi qu’un bug que Microsoft traite comme exploité –
- CVE-2024-38014 (Score CVSS : 7,8) – Vulnérabilité d’élévation des privilèges de Windows Installer
- CVE-2024-38217 (Score CVSS : 5,4) – Vulnérabilité de contournement de la fonctionnalité de sécurité Windows Mark-of-the-Web (MotW)
- CVE-2024-38226 (Score CVSS : 7,3) – Vulnérabilité de contournement de la fonctionnalité de sécurité de Microsoft Publisher
- CVE-2024-43491 (Score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance de Microsoft Windows Update
« L’exploitation des failles CVE-2024-38226 et CVE-2024-38217 peut conduire au contournement de fonctionnalités de sécurité importantes qui bloquent l’exécution des macros Microsoft Office », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable, dans un communiqué.
« Dans les deux cas, la cible doit être convaincue d’ouvrir un fichier spécialement conçu à partir d’un serveur contrôlé par un attaquant. La différence réside dans le fait qu’un attaquant doit être authentifié sur le système et avoir un accès local à celui-ci pour exploiter la faille CVE-2024-38226. »
Comme l’a révélé Elastic Security Labs le mois dernier, la faille CVE-2024-38217, également appelée LNK Stomping, aurait été utilisée de manière abusive dans la nature dès février 2018.
Le CVE-2024-43491, en revanche, est remarquable par le fait qu’il est similaire à l’attaque de rétrogradation que la société de cybersécurité SafeBreach a détaillée au début du mois dernier.
« Microsoft est conscient d’une vulnérabilité dans la pile de maintenance qui a annulé les correctifs de certaines vulnérabilités affectant les composants facultatifs sur Windows 10, version 1507 (version initiale publiée en juillet 2015) », a noté Redmond.
« Cela signifie qu’un attaquant pourrait exploiter ces vulnérabilités précédemment atténuées sur les systèmes Windows 10, version 1507 (Windows 10 Enterprise 2015 LTSB et Windows 10 IoT Enterprise 2015 LTSB) qui ont installé la mise à jour de sécurité Windows publiée le 12 mars 2024 – KB5035858 (build du système d’exploitation 10240.20526) ou d’autres mises à jour publiées jusqu’en août 2024. »
Le fabricant de Windows a également déclaré que ce problème pouvait être résolu en installant la mise à jour de la pile de maintenance de septembre 2024 (SSU). KB5043936) et la mise à jour de sécurité Windows de septembre 2024 (KB5043083), dans cet ordre.
Il convient également de souligner que l’évaluation « Exploitation détectée » de Microsoft pour CVE-2024-43491 découle de la restauration des correctifs qui corrigeaient les vulnérabilités affectant certains composants facultatifs pour Windows 10 (version 1507) qui ont été précédemment exploités.
« Aucune exploitation de la faille CVE-2024-43491 n’a été détectée », a déclaré la société. « De plus, l’équipe produit Windows de Microsoft a découvert ce problème, et nous n’avons vu aucune preuve qu’il soit connu du public. »
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, d’autres fournisseurs ont également publié des mises à jour de sécurité au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :
- Adobe
- Bras
- Bosch
- Broadcom (y compris VMware)
- Cisco
- Citrix
- CODESYS
- Lien D
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Android et Pixel
- Google Chrome
- Google Cloud
- Système d’exploitation Wear OS de Google
- Hitachi Énergie
- HP
- HP Entreprise (y compris Aruba Networks)
- IBM
- Intel
- Ivanti
- Lenovo
- Distributions Linux Amazon Linux, Debian, Oracle Linux, Chapeau rouge, Linux rocheux, SUSEet Ubuntu
- MédiaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox, Firefox ESR, Focus et Thunderbird
- NVIDIA
- ownCloud
- Réseaux de Palo Alto
- Logiciel Progress
- QNAP
- Qualcomm
- Rockwell Automation
- Samsung
- SÈVE
- Schneider Electric
- Siemens
- Vents solaires
- SonicWall
- Cadre de travail Spring
- Synologie
- Veeam
- Zimbra
- Moteur de gestion Zoho ServiceDesk Plus, Centre de support Pluset ServiceDesk Plus MSP
- Zoomet
- Zyxel