Vulnérabilités critiques dans Windows : Quatre failles d’exécution de code à distance et trois failles d’élévation de privilèges à corriger
Microsoft a récemment publié des correctifs pour quatre vulnérabilités d’exécution de code à distance dans le cadre de la mise à jour de septembre 2024, classées comme critiques, ce qui indique que des exploits sont déjà en circulation.
En outre, trois correctifs critiques ont été émis pour des vulnérabilités de sécurité liées à l’élévation de privilèges.
Concernant les versions actuelles des systèmes d’exploitation, Microsoft a également annoncé la nécessité de fournir des correctifs pour Windows 11 version 24H2, qui sera disponible plus tard cette année. Les utilisateurs de nouveaux PC CoPilot+ devront appliquer ces correctifs pour garantir la protection complète de leur appareil.
Analyse des vulnérabilités critiques
Parmi les failles d’élévation de privilèges, on trouve la CVE-2024-38014, qui touche Windows Installer, un composant essentiel permettant l’installation et la désinstallation de logiciels. Cette vulnérabilité pourrait permettre à un attaquant d’acquérir des privilèges système, lui donnant ainsi le contrôle total de la machine.
Une autre vulnérabilité critique, CVE-2024-43491, concerne la fonctionnalité de mise à jour de Windows. Selon la société de sécurité Qualys, cette vulnérabilité de pile permettrait à un attaquant d’exécuter du code à distance.
Bien que cette vulnérabilité soit connue, Microsoft a précédemment annulé les correctifs pour certaines failles touchant les composants optionnels de Windows 10, version 1507 (lancée en juillet 2015). Qualys a précisé qu’un attaquant pourrait exploiter ces vulnérabilités atténuées sur les systèmes Windows 10, version 1507, qui ont installé la mise à jour de sécurité de Windows publiée le 12 mars ou d’autres mises à jour jusqu’en août. Cette vulnérabilité n’affecte pas les versions ultérieures de Windows 10.
Un autre correctif critique (CVE-2024-38018) concerne une vulnérabilité d’exécution de code à distance affectant le serveur Microsoft SharePoint. Microsoft a averti que les administrateurs de SharePoint pourraient rencontrer des problèmes nécessitant des solutions de contournement supplémentaires après l’application du correctif.
Pour le serveur SharePoint Enterprise 2016, Microsoft a intégré l’expérience utilisateur moderne de OneDrive for Business, mais cette fonctionnalité est réservée aux clients ayant un contrat de Software Assurance. Cela signifie que ceux qui n’ont pas de Software Assurance devront désactiver la nouvelle fonctionnalité de OneDrive for Business pour se conformer aux conditions de licence de Microsoft.
Le système de traduction d’adresses réseau (NAT) de Windows (CVE-2024-38119) présente également une vulnérabilité d’exécution de code à distance. Selon Qualys, un attaquant doit avoir accès au réseau pour réussir son exploitation.
Vulnérabilités d’élévation de privilèges dans Azure
Parmi les failles critiques d’élévation de privilèges, deux concernent Azure Stack Hub (CVE-2024-38216 et CVE-2024-38220), qui permet aux utilisateurs d’exécuter des applications dans un environnement local et de fournir des services Azure dans leurs propres centres de données. L’exploitation réussie de cette faille pourrait permettre à un attaquant d’accéder de manière non autorisée aux ressources système. Cette vulnérabilité pourrait également permettre à un attaquant d’effectuer des actions avec les mêmes privilèges que le processus compromis, selon Qualys.
Une autre vulnérabilité affecte les applications Web Azure, qui permettent aux utilisateurs d’héberger des applications web dans divers langages de programmation tels que .NET, Java, Node.js, Python et PHP. Qualys a signalé qu’un attaquant authentifié pourrait exploiter une vulnérabilité d’autorisation incorrecte dans Azure Web Apps pour élever ses privilèges sur le réseau.
La Cyber Security and Infrastructure Security Agency des États-Unis a recommandé aux utilisateurs de corriger toutes les vulnérabilités Windows dans les catégories de mise à jour considérées comme « critiques » avant le 1er octobre 2024.
