Ce mois-ci, Microsoft a publié 72 bulletins de sécurité concernant de nombreux produits et services du fournisseur : Windows et ses composants, Office, SharePoint Server, Hyper-V, Defender for Endpoint, System Center Operations Manager... Il s'agit tout simplement du plus grand nombre de CVE comblées en décembre par l'éditeur depuis au moins 2017, ce qui porte le nombre total de failles corrigées par la firme de Redmond à 1 020 pour 2024 selon la Zero Day Initiative (ZDI), un cran en-dessous des 1 250 correctifs enregistrés en 2020.

Parmi ces trous de sécurité, 16 sont classés critiques et ouvrent la voie à de l'exécution de code à distance. Une autre brèche considérée comme importante (score CVSS 7.8) n'est cependant à négliger loin de là puisqu'il s'agit d'une zero day activement exploitée. Il s'agit de la CVE-2024-49138 affectant Windows Common Log File System Driver. "Étant donné qu'il s'agit d'une escalade de privilèges, il est probable qu'il soit associé à un bogue d'exécution de code pour prendre le contrôle d'un système. Ces tactiques sont souvent observées dans les attaques de ransomware et dans les campagnes de phishing ciblées", indiquent les chercheurs de la ZDI. A noter que Microsoft est resté discret sur cette faille et ne fournit pas d'information sur sa divulgation pas plus que sur l'étendue des attaques.

Une salve de failles critiques corrigées

Parmi les trous de sécurité comblés, on trouve également la critique (score CVSS 9.8) CVE-2024-49112 de type RCE également qui touche le protocole LDAP (Lightweight Directory Access Protocol) de Windows. "Elle permet à des attaquants distants non authentifiés d'exploiter les contrôleurs de domaine affectés en envoyant un ensemble d'appels LDAP spécialement conçus. L'exécution du code se produit au niveau du service LDAP, qui est élevé, mais pas au niveau SYSTEM", prévient ZDI.

Les CVE-2024-49118 et CVE-2024-49122 toujours de type RCE et tout aussi critiques (score CVSS 8.1) affectent quant à elles le service Message Queuing de Microsoft. (MSMQ). "Selon les deux avis de Microsoft, une exploitation réussie nécessite que l'attaquant remporte une condition de course [erreurs produites quand des processus imbriqués tentent d'accéder simultanément à des mêmes données, ndlr]. Malgré cette exigence, Microsoft a évalué la CVE-2024-49122 comme une exploitation plus probable tandis que la CVE-2024-49118 a été évaluée comme moins probable car la condition de course requise doit se produire pendant l'exécution d'une opération spécifique qui se reproduit peu fréquemment sur le système cible", a expliqué de son côté Tenable.

9 failles Windows Remote Desktop Services comblées

Attention aussi aux CVE-2024-49106CVE-2024-49108CVE-2024-49115CVE-2024-49116CVE-2024-49119CVE-2024-49120CVE-2024-49123CVE-2024-49128 et CVE-2024-49132 débouchant également sur du code à distance, cette fois relatives à Windows Remote Desktop Services. Ces neuf vulnérabilités critiques ont reçu un score CVSS de 8.1. "Une exploitation réussie est complexe et nécessite qu'un attaquant déclenche une race condition afin de créer un scénario use after free [UAF est une faille liée à l'utilisation incorrecte de la mémoire dynamique pendant le fonctionnement du programme,ndlr] qui pourrait conduire à l'exécution d'un code arbitraire. En raison de la complexité élevée de l'exploitation, Microsoft a classé ces vulnérabilités dans la catégorie d'exploitation moins probable", note également Tenable.