Après un mois de juillet chargé (avec 142 failles corrigées), le patch Tuesday du mois d’août semble en apparence plus léger avec son lot de 89 correctifs. Mais les apparences sont trompeuses, cette édition ne corrige pas moins de 9 failles de type zero day, voir même 10 car Microsoft travaille sur une vulnérabilité critique. Dans ce lot, il y a 6 zero days exploitées activement et 3 ont fait l’objet d’une publication.
Des failles sur Windows, moteur de script et Mark of the Web
La première à attirer la vigilance des administrateurs est la CVE-2024-38178 , une vulnérabilité de corruption de la mémoire du moteur de script. Microsoft indique que l'attaque nécessite qu'un client authentifié clique sur un lien pour qu'un attaquant non authentifié puisse lancer une exécution de code à distance. Le lien doit être cliqué dans le navigateur Edge en mode Internet Explorer, ce qui en fait une faille délicate à exploiter. Toutefois, même avec ces conditions préalables, le National Cyber Security Center (NCSC) sud-coréen et AhnLab ont révélé que la faille était exploitée dans des attaques.
La seconde est la CVE-2024-38193, une faille d'élévation de privilèges du pilote de fonction auxiliaire de Windows pour WinSock. Elle entraîne des attaques pour obtenir les privilèges SYSTEM sur les systèmes Windows. La faille a été découverte par Luigino Camastra et Milánek de Gen Digital, mais la firme de Redmond n'a pas donné de détails sur la manière dont elle a été divulguée.
La troisième brèche exploitée est la CVE-2024-38213, entraînant le contournement de la fonction de sécurité de Windows Mark of the Web. Cette vulnérabilité offre aux attaquants de créer des fichiers qui contournent les alertes de sécurité de Windows Mark of the Web. Cette fonction de sécurité a fait l'objet de nombreux contournements au cours de l'année, car elle constitue une cible attrayante pour les cybercriminels qui mènent des campagnes d'hameçonnage. Microsoft indique que la faille a été découverte par Peter Girnus, de l'initiative Zero Day de Trend Micro, mais ne précise pas comment elle est exploitée dans les attaques.
L'attaque Windows Downdate en partie corrigée
Dans les vulnérabilités critiques qui ont été soumises à Microsoft, on trouve la CVE-2024-38106, qui génère une faille d'élévation des privilèges du noyau Windows qui confère les privilèges SYSTEM. « L'exploitation réussie de cette vulnérabilité exige qu'un attaquant remporte une condition de course » explique l'avis de Microsoft. Il y a également la CVE-2024-38107 qui provoque une élévation de privilèges du coordinateur de dépendance de Windows Power ou la CVE-2024-38189 qui déclenche une exécution de code à distance dans Microsoft Project. « L'exploitation nécessite que la victime ouvre un fichier Microsoft Office Project malveillant sur un système où la stratégie Block l'exécution des macros dans les fichiers Office provenant d'Internet est désactivée et où les paramètres de notification des macros VBA ne sont pas activés, ce qui permet à l'attaquant de procéder à une exécution de code à distance », souligne l’avis de sécurité.
Toujours dans Office, la CVE-2024-38200 entraîne une vulnérabilité d'usurpation d'identité qui expose les hachages NTLM, comme cela a été révélé dans la conférence Defcon "NTLM - The last ride". Les attaquants peuvent exploiter cette faille en incitant quelqu'un à ouvrir un fichier malveillant, ce qui force Office à se connecter à un partage distant où les attaquants peuvent voler les hachages NTLM envoyés. On notera enfin les correctifs (dont la CVE-2024-38202 en cours de traitement par Microsoft) sur l’attaque dite Downdate sur Windows Update présentée par un chercheur à la Black Hat à Las Vegas. Il a pu rétrograder plusieurs composants de Windows Update pour rendre l'OS vulnérable à d'anciennes failles.
Commentaire