Patch Tuesday – Septembre 2024 : 79 failles de sécurité et 4 zero-day patchées par Microsoft !

Le Patch Tuesday de la rentrée 2024 a été publié par Microsoft ! À l’occasion de ce mois de septembre 2024, Microsoft a corrigé 79 vulnérabilités ainsi que 4 failles de sécurité zero-day actuellement exploitée au sein de cyberattaques. Faisons le point.

Commençons par évoquer les 7 vulnérabilités critiques patchées par Microsoft :

Comme souvent, la liste des produits et services impactés par une ou plusieurs failles de sécurité est relativement longue. Nous pouvons citer notamment : Microsoft Excel, Publisher et Visio, l’hyperviseur Hyper-V, l’application SQL Server (13 vulnérabilités), l’outil de gestion Windows Admin Center, le serveur DHCP de Windows Server, ainsi que Kerberos, Windows Installer, le service de gestion des licences RDS, ou encore la pile TCP/IP.

4 failles de sécurité zero-day : ce qu’il faut savoir

Le Patch Tuesday de ce mois-ci corrige 4 failles de sécurité zero-day actuellement exploitée par des pirates. Nous allons nous attarder sur ces risques potentiels.

CVE-2024-38014 – Windows Installer

Le composant « Windows Installer« , sollicité par Windows pour l’installation des applications, est vulnérable à une faille de sécurité importante. Elle permet une élévation de privilèges, comme l’explique Microsoft : « Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM. »

Microsoft n’a pas expliqué comment était exploitée cette vulnérabilité, mais nous savons qu’elle affecte Windows 10, Windows 11 ainsi que Windows Server 2008 et toutes les versions plus récentes.

CVE-2024-38217 – Mark of the Web

Une nouvelle fois, la fonction « Mark of the Web » de Windows contient une vulnérabilité permettant d’outrepasser les fonctions de sécurité de Windows. Cette nouvelle faille de sécurité a été divulguée publiquement le mois dernier par Joe Desimone d’Elastic Security. Elle serait exploitée par les pirates depuis 2018 !

Elle est associée à une technique appelée « LNK stomping » permettant à un fichier raccourci (« .lnk ») spécial de provoquer l’ouverture du fichier tout en contournant la fonction « Smart App Control » de Windows. Un fichier malveillant pourrait être exécuté sur la machine.

À ce sujet, Microsoft précise : « Pour exploiter cette vulnérabilité, un attaquant pourrait héberger un fichier sur un serveur contrôlé par l’attaquant, puis convaincre un utilisateur ciblé de télécharger et d’ouvrir le fichier. Cela pourrait permettre à l’attaquant d’interférer avec la fonctionnalité Mark of the Web. »

Elle affecte Windows 10, Windows 11 ainsi que Windows Server 2008 et toutes les versions plus récentes.

CVE-2024-38226 – Microsoft Publisher

L’entreprise américaine a corrigé une vulnérabilité dans Microsoft Publisher, qui permet à un attaquant de contourner les contrôles de sécurité contre les macros. Le bulletin de sécurité de Microsoft précise : « Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait contourner les politiques de macros Office utilisées pour bloquer les fichiers non fiables ou malveillants.« , en référence aux fichiers en provenance d’Internet.

Cette vulnérabilité affecte Microsoft Office 2016, Office 2019 et Office 2021 LTSC.

CVE-2024-43491 – Windows Update

Pour finir, terminons avec cette vulnérabilité critique présente dans la fonction « Servicing Stack » du composant « Windows Update » du système d’exploitation Windows. Elle réactive en quelque sorte d’anciennes vulnérabilités déjà patchées par Microsoft. Dans le cas présent, seules certaines versions de Windows 10 sont affectées.

« Cela signifie qu’un attaquant pourrait exploiter ces vulnérabilités précédemment atténuées sur les systèmes Windows 10 (…) qui ont installé la mise à jour de sécurité Windows publiée le 12 mars 2024-KB5035858 (OS Build 10240.20526) ou d’autres mises à jour publiées jusqu’en août 2024.« , peut-on lire.

La faille de sécurité CVE-2024-43491 concerne uniquement Windows 10, version 1507 (dont le support a pris fin en 2017), Windows 10 Enterprise 2015 LTSB et Windows 10 IoT Enterprise 2015 LTSB, qui sont toujours pris en charge. Si vous êtes concerné, je vous recommande de lire le bulletin de sécurité de Microsoft pour prendre connaissance de tous les détails. Cette faille de sécurité serait exploitée, mais Microsoft ne donne pas de précision.

Les nouvelles mises à jour de Windows 10 et Windows 11

Pour en savoir plus sur les mises à jour obligatoires de septembre 2024, consultez ces articles :