Microsoft a dévoilé son Patch Tuesday d’Octobre 2024 ! Ce dernier contient 118 vulnérabilités et 5 failles de sécurité zero-day dont 2 déjà exploitées par les pirates. Faisons le point !
Ce nouveau Patch Tuesday fait référence à 3 failles de sécurité critiques, dont voici la liste :
- Microsoft Configuration Manager : CVE-2024-43468, exécution de code à distance.
- Visual Studio Code : CVE-2024-43488, exécution de code à distance via l’extension pour Arduino.
- Protocole RDP de Windows : CVE-2024-43582, exécution de code à distance.
Comme à chaque fois, d’autres services et composants de chez Microsoft sont affectés par une ou plusieurs failles de sécurité. Nous pouvons citer notamment .NET, Visual Studio, Microsoft Office (dont Excel et Visio), OpenSSH pour Windows, le rôle Hyper-V, Sudo for Windows ou encore BitLocker pour Windows. Au total, il y a 43 vulnérabilités correspondantes à des exécutions de code à distance.
Table de Matieres
- 1 Les failles de sécurité zero-day
- 2 CVE-2024-43573 – Windows MSHTML – Spoofing
- 3 CVE-2024-43572 – Microsoft Management Console – Exécution de code à distance
- 4 CVE-2024-6197 – Curl – Exécution de code à distance
- 5 CVE-2024-20659 – Hyper-V – Contournement de la sécurité
- 6 CVE-2024-43583 – Winlogon – Élévation de privilèges
Les failles de sécurité zero-day
À présent, évoquons les failles de sécurité zero-day corrigées par Microsoft. Nous allons commencer par présenter les 2 zero-day déjà exploitées par les cybercriminels.
CVE-2024-43573 – Windows MSHTML – Spoofing
Cette faille de sécurité concerne la plateforme MSHTML, utilisée par Internet Explorer et l’ancienne version de Microsoft Edge. Il s’agit de composants toujours installés dans Windows. Ce composant est notamment utilisé par le nouveau Edge via le « Mode IE » du navigateur.
« Bien que Microsoft ait annoncé le retrait de l’application Internet Explorer 11 sur certaines plateformes et que l’application Microsoft Edge Legacy soit obsolète, les plateformes MSHTML, EdgeHTML et de script sous-jacentes sont toujours prises en charge.« , peut-on lire.
Ce n’est pas précisé par Microsoft, mais cette vulnérabilité pourrait être un bypass du correctif intégré le mois dernier dans MSHTML. En effet, une faille similaire dans MSHTML a été révélée en septembre 2024.
Microsoft n’a pas communiqué d’informations détaillées sur la manière dont cette vulnérabilité est exploitée. Windows 10, Windows 11 et Windows Server 2012 R2 et supérieur sont affectés.
CVE-2024-43572 – Microsoft Management Console – Exécution de code à distance
Cette faille de sécurité permet à un attaquant d’utiliser des fichiers MSC malveillants pour exécuter du code à distance sur des machines vulnérables. L’entreprise américaine a corrigé la vulnérabilité en empêchant l’ouverture de fichiers MSC considérés comme non fiables. Pour rappel, ces fichiers correspondent à des fichiers de console MMC personnalisés.
D’après Microsoft, cette vulnérabilité est exploitée dans le cadre d’attaques, mais il n’y a pas de détails à ce sujet. Windows 10, Windows 11 et Windows Server 2008 R2 et supérieur sont affectés.
CVE-2024-6197 – Curl – Exécution de code à distance
Une faille de sécurité a été corrigée par Microsoft dans la bibliothèque « libcurl », utilisée par les systèmes Linux et certains logiciels. Windows quant à lui intègre uniquement l’outil open source Curl, mais il est tout de même impacté par cette vulnérabilité.
« Cette attaque nécessite qu’un client se connecte à un serveur malveillant, ce qui pourrait permettre à l’attaquant d’exécuter du code sur le client.« , précise Microsoft. Cette vulnérabilité est aussi associée à un bulletin de sécurité du côté de Curl. D’après ce bulletin, l’exploitation repose sur l’utilisation d’un certificat TLS spécialement conçu.
Du côté des systèmes Microsoft, Windows 10, Windows 11 et Windows Server 2019 et supérieurs sont affectés, ainsi que la distribution Linux nommée CBL Mariner 2.0. Déjà connue publiquement, cette vulnérabilité n’est pas exploitée à ce jour.
CVE-2024-20659 – Hyper-V – Contournement de la sécurité
L’hyperviseur Hyper-V de Microsoft est affecté par une faille de sécurité permettant d’outrepasser les sécurités liées à l’UEFI, ce qui pourrait permettre à un attaquant de compromettre l’hôte.
« Sur certains matériels spécifiques, il pourrait être possible de contourner l’UEFI, ce qui pourrait conduire à la compromission de l’hyperviseur et du noyau sécurisé.« , précise Microsoft. Il est important de préciser que l’exploitation nécessite un redémarrage de la machine et un accès physique, ce qui atténue grandement les risques.
Sachez que Windows 10, Windows 11 et Windows Server 2019 et supérieurs sont affectés par la CVE-2024-20659.
CVE-2024-43583 – Winlogon – Élévation de privilèges
Le composant Winlogon du système d’exploitation Windows contient une faille de sécurité pouvant permettre à un attaquant d’obtenir les privilèges SYSTEM sur la machine locale. « Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.« , peut-on lire.
Pour se protéger, il convient d’installer la dernière mise à jour de sécurité sur sa machine, mais ce n’est pas tout. Microsoft explique qu’il y a des actions supplémentaires à effectuer : « Pour remédier à cette vulnérabilité, assurez-vous qu’un IME Microsoft est activé sur votre appareil. Ce faisant, vous protégez votre appareil des vulnérabilités potentielles associées à un IME tiers au cours du processus de connexion. »
IME étant le terme faisant référence aux méthodes d’entrée (Input Method Editors). Des détails supplémentaires sur les actions à appliquer sont disponibles sur cette page du site officiel.
Windows 10, Windows 11 et Windows Server 2008 R2 et supérieur sont affectés.
Des articles pour évoquer les nouvelles mises à jour pour Windows 10 et Windows 11 seront mis en ligne dans la matinée.