Résumé de l’article :
Les failles de sécurité corrigées par Microsoft dans son update Windows d’octobre 2024.
les failles de sécurité corrigées par Microsoft en octobre 2024 :
Correctifs et vulnérabilités
- 117 correctifs publiés par Microsoft, dont 43 failles permettant l’exécution de code à distance (RCE).
- 5 vulnérabilités zero day corrigées, dont deux activement exploitées :
- CVE-2024-43573 : Usurpation d’identité de la plateforme MSHTML de Windows.
- CVE-2024-43572 : Exécution de code à distance via Microsoft Management Console.
Détails des vulnérabilités zero day
- CVE-2024-43573 : Similaire à un bug corrigé en juillet, utilisé par le groupe APT Void Banshee. MSHTML est utilisé par le mode Internet Explorer dans Edge et d’autres applications.
- CVE-2024-43572 : Permet l’exécution de code à distance via des fichiers MSC malveillants. Exploitation limitée par la nécessité d’ingénierie sociale.
Autres vulnérabilités importantes
- CVE-2024-6197 : Exécution de code à distance via Curl, corrigée par une mise à jour de libcurl.
- CVE-2024-20659 : Contournement des fonctionnalités de sécurité de Windows Hyper-V, nécessitant un accès physique.
- CVE-2024-43583 : Élévation des privilèges de Winlogon, nécessitant l’activation d’un IME Microsoft de premier niveau.
Failles critiques supplémentaires
- CVE-2024-43468 : Microsoft Configuration Manager.
- CVE-2024-43582 : Remote Desktop Protocol Server.
- CVE-2024-43488 : Visual Studio Code extension for Arduino.
Conclusion
La vigilance est de mise, surtout avec les vulnérabilités zero day et les failles critiques. Les administrateurs système doivent tester et déployer rapidement les mises à jour pour protéger leurs systèmes.
Détail de l’article :
Après un été calme, la rentrée s’est avérée mouvementée en matière de failles et cela ne se dément pas en ce mois d’octobre avec une salve de 117 correctifs publiés par Microsoft dans son dernier patch tuesday. 5 vulnérabilités zero day dont deux activement exploitées ont été comblées.
Après 79 failles corrigées par Microsoft en septembre dans ses produits, ce mois d’octobre s’avère être encore un meilleur cru. La firme de Redmond a ainsi comblé 117 trous de sécurité (dont 43 RCE) incluant 5 zero day dont deux sont activement exploités : la CVE-2024-43573 (usurpation d’identité de la plate-forme MSHTML de Windows) et la CVE-2024-43572 (exécution de code à distance de Microsoft Management Console). Considérée comme présentant un risque modéré, la première s’avère très similaire au bug corrigé en juillet dans le même composant (MSHTML), qui a été utilisé par le groupe APT connu sous le nom de Void Banshee selon les chercheurs de la Zero Day Initiative (ZDI). Sans donner plus de détails, Microsoft a précisé que MSHTML est utilisée par le mode Internet Explorer dans Edge ainsi que par d’autres applications via le contrôle WebBrowser. Le module EdgeHTML est utilisé par WebView et certaines applications UWP. Les plateformes de script sont utilisées par MSHTML et EdgeHTML mais peuvent également être utilisées par d’autres applications héritées.
Présenté également comme un risque modéré, le second exploit CVE-2024-43572, permet à des fichiers Microsoft Saved Console (MSC) malveillants d’exécuter du code à distance sur des appareils vulnérables. La faille a été comblée, empêchant ainsi l’ouverture de fichiers MSC non fiables. On n’en sait en revanche pas plus sur la façon dont cette faille a été activement exploitée dans les attaques. « Compte tenu de la quantité d’ingénierie sociale nécessaire pour exploiter ce bogue, je pense que les attaques sont limitées à ce stade », a cependant indiqué un chercheur de la ZDI. « Néanmoins, compte tenu des dommages qui pourraient être causés par un administrateur chargeant un snap-in malveillant, je testerais et déploierais cette mise à jour rapidement. »
Vigilance sur trois zero day non exploitées
Bien que non activement exploitées, trois autres zero day nécessitent une attention particulière. A commencer par la CVE-2024-6197 (exécution de code à distance du logiciel open source Curl). « Le chemin de code vulnérable peut être déclenché par un serveur malveillant offrant un certificat TLS spécialement conçu », explique un avis de sécurité de Curl. Microsoft a corrigé la faille en mettant à jour la bibliothèque libcurl utilisée par l’exécutable Curl fourni avec Windows. La CVE-2024-20659 (contournement des fonctionnalités de sécurité de Windows Hyper-V) nécessite aussi de la vigilance. Celle-ci concerne les machines virtuelles au sein d’une machine hôte UEFI (Unified Extensible Firmware Interface) : « Sur certains matériels spécifiques, il peut être possible de contourner l’UEFI, ce qui pourrait compromettre l’hyperviseur et le noyau sécurisé », a prévenu Microsoft sachant qu’un attaquant doit avoir un accès physique au système cible et doit le redémarrer pour que l’exploit soit effectué. La CVE-2024-43583 (élévation des privilèges de Winlogon) est également dangereuse car pouvant procurer des droits systèmes aux attaquants. « Pour remédier à cette faille, assurez-vous qu’un IME Microsoft de premier niveau est activé sur votre terminal », explique Microsoft.
Attention aussi à trois autres failles critiques d’exécution de code à distance : CVE-2024-43468 (relatif à Microsoft Configuration Manager), CVE-2024-43582 (concernant Remote Desktop Protocol Server) et la CVE-2024-43488 (affectant Visual Studio Code extension for Arduino).
Une erreur dans l’article?Proposez-nous une correction
Article rédigé par
Chef des actualités LMI
