Mardi de correctifs d’août : Six vulnérabilités critiques à résoudre d’urgence !

Les administrateurs ‌informatiques et les équipes de sécurité qui espéraient une période estivale tranquille ont ‍été déçus. Microsoft a récemment corrigé six vulnérabilités zero-day activement exploitées, ainsi que quatre autres problèmes⁤ rendus publics, lors de sa mise à jour mensuelle de Patch‌ Tuesday.

Ce mois-ci, pas moins de neuf failles, dont deux issues de Red Hat, ont également attiré l’attention des acteurs malveillants, avec des niveaux de gravité ⁤critiques. Bien que ces failles critiques ne figurent pas parmi les zero-days, elles s’ajoutent à l’une⁢ des mises à jour les plus importantes de l’année, totalisant plus de 100 correctifs, y compris les problèmes tiers.

Adam Barnett, ingénieur principal ⁤chez Rapid7, a déclaré : « Microsoft a⁤ des preuves d’exploitation en milieu sauvage​ ou de⁢ divulgation publique ⁢pour 10 des​ vulnérabilités publiées aujourd’hui, ce qui est nettement plus que d’habitude. »

« À l’heure actuelle, ​toutes les six vulnérabilités connues exploitées corrigées aujourd’hui⁢ sont répertoriées dans la base de données CISA KEV. Microsoft corrige également cinq vulnérabilités ⁢critiques d’exécution de code à distance (RCE) aujourd’hui. »

Barnett a‍ ajouté : « Les observateurs⁢ de Patch Tuesday savent que le lot d’aujourd’hui, comprenant quatre vulnérabilités publiquement divulguées et six autres exploitées dans la nature, est beaucoup⁢ plus important que d’habitude. »

Pour apaiser les défenseurs qui pourraient maintenant scruter leur liste de tâches ⁢avec ⁣inquiétude, Microsoft n’a pas publié de⁣ vulnérabilités liées à SharePoint‍ ou Exchange ce mois-ci.

Les‌ six zero-days, pour lesquels aucun code d’exploitation public n’est encore en circulation, incluent les vulnérabilités suivantes :

• CVE-2024-38106, une vulnérabilité d’élévation de privilèges dans le noyau Windows ;
• CVE-2024-38107, une ⁤vulnérabilité‌ d’élévation de privilèges​ dans le Coordinateur ​de dépendance de Windows Power ;
• CVE-2024-38178, une vulnérabilité‍ d’exécution de code à distance dans le moteur de script ;
• CVE-2024-38189, une vulnérabilité RCE dans Microsoft Project ;
• CVE-2024-38193, une vulnérabilité d’élévation de privilèges dans le pilote de fonction auxiliaire de ‍Windows pour WinSock ;
• CVE-2024-38213, une vulnérabilité de contournement de fonctionnalité de sécurité dans Windows Mark-of-the-Web.

Chris Goettl, vice-président des produits de sécurité chez Ivanti, a⁣ souligné que la mise‍ à jour du système d’exploitation Windows et d’Office permettrait ‍de « réduire rapidement la plupart des risques ⁣». En examinant la liste des zero-days, Goettl a noté que CVE-2024-38189 pourrait avoir le plus grand impact, car elle permet à un attaquant de manipuler ⁢socialement sa victime pour exécuter du code arbitraire sur son ⁤système. Cependant, il a ajouté qu’il existe des ‌facteurs d’atténuation, tels que des politiques empêchant l’exécution de macros dans les fichiers Office ⁢provenant d’Internet.

« Si ces paramètres sont activés, ‍l’attaque pourrait être contrecarrée. Il est ⁢évident que ces paramètres de politique‌ étaient désactivés,⁢ permettant à un attaquant d’exploiter la CVE dans la nature. Il est conseillé de⁢ mettre à jour vos installations d’Office ce⁤ mois-ci. Si vous avez un contrôle ⁣limité sur les paramètres de politique‍ d’atténuation ou si vous appliquez une politique BYOD (apportez votre propre appareil), alors la mise à jour d’Office ‌pourrait être plus ⁢urgente​ pour⁢ réduire votre exposition‍ », a-t-il déclaré.

Concernant CVE-2024-38107, Goettl a noté que bien que l’exploitation nécessite qu’un attaquant remporte une condition ‍de course, le fait qu’elle ait déjà été détectée dans des attaques ne devrait pas inciter à retarder⁣ sa remédiation.

Il a exhorté les ‍utilisateurs ​à considérer ​les conseils ⁢basés sur les risques et à traiter cette mise à jour comme ayant une gravité plus élevée que ce que Microsoft indique, ajoutant que cela s’applique également aux quatre autres zero-days répertoriés.

Les failles qui ont été rendues⁤ publiques, mais​ qui ne sont pas ⁢encore considérées ⁢comme exploitées dans la nature, sont les‍ suivantes :

• CVE-2024-21302, une faille d’élévation de privilèges dans le mode noyau sécurisé de Windows ;
• CVE-2024-38199, une faille RCE dans le service de démon d’imprimante Windows‌ ;
• CVE-2024-38200, une faille de spoofing ‌dans Microsoft ⁢Office ;
• CVE-2024-38202, une faille d’élévation de privilèges dans la pile de mise à⁢ jour de Windows.

En examinant ces quatre problèmes, Scott Caveza, ingénieur de recherche chez Tenable, a déclaré que CVE-2024-38202 et CVE-2024-21302 méritaient une attention particulière. « Si elles sont‌ combinées, un attaquant pourrait rétrograder ou annuler des mises à jour logicielles sans interaction d’une victime ayant des privilèges élevés‌ », a expliqué Caveza.

« En conséquence, les efforts de remédiation précédents sont essentiellement annulés, car ⁤les appareils cibles pourraient devenir vulnérables à des failles précédemment corrigées, augmentant ainsi la surface d’attaque de l’appareil. »

CVE-2024-38200‌ mérite également une attention particulière, a ajouté Caveza. « Un attaquant pourrait exploiter cette vulnérabilité en incitant‌ une victime à accéder à un fichier spécialement conçu, probablement via un e-mail de phishing. L’exploitation réussie de cette vulnérabilité pourrait entraîner l’exposition des hachages NTLM (New Technology Lan Manager) à un attaquant distant », a-t-il expliqué.

« Les hachages NTLM pourraient être utilisés dans des ⁢attaques de relais⁤ NTLM ou​ de pass-the-hash pour renforcer la​ position d’un attaquant au sein d’une organisation. Des⁢ attaques de ‍relais NTLM ont été observées par un acteur de⁤ menace basé en Russie, APT28 (Fancy Bear), qui a exploité une vulnérabilité​ similaire pour mener des attaques‍ – CVE-2023-23397, une vulnérabilité d’élévation ⁣de privilèges dans Microsoft Outlook corrigée ‍en mars 2023. »