L'année commence doucement sur le terrain des correctifs de sécurité pour Microsoft. Son dernier patch tuesday de janvier 2024 comble ainsi « seulement » 49 failles réparties de la façon suivante : 12 en exécution de code à distance, 11 sont de type divulgation d'informations, 10 ouvrent la voie à de l'escalade de privilèges, 7 apportent des fonctions de contournement, 6 du déni de service et 3 de type spoofing. A noter que cette salve n'inclut pas les 4 trous de sécurité pour le navigateur Edge corrigées ce 5 janvier. Deux sont classées critiques et 47 considérées comme importantes.
La première faille critique à signaler (score CVSS 9) est liée à un bug critique de Windows Kerberos (CVE-2024-20674) permettant à un pirate de contourner cette fonction d'authentification. « Ce bogue offre à un attaquant non authentifié de réaliser une attaque de type machine au milieu (MitM) qui usurpe l'identité d'un serveur Kerberos », alerte la Zero Day Initiative. « Un client affecté recevrait ce qu'il croit être des messages authentiques du serveur d'authentification Kerberos. Bien qu'il faille certainement mettre en place un certain nombre de mesures, Microsoft attribue à ce bogue son indice d'exploitabilité le plus élevé, ce qui signifie qu'il s'attend à voir apparaître un code d'exploitation public dans les 30 jours ». La vigilance est donc plus que de mise et l'application du correctif apparait plus que conseillée.
Windows Hyper-V exposé à de l'exécution de code distant
La deuxième faille critique débouche sur de l'exécution de code à distance dans Windows Hyper-V (CVE-2024-20700). « Microsoft ne fournit pas beaucoup de description au-delà de cela, de sorte qu'il n'est pas clair comment l'exécution du code se produirait », prévient également la Zero Day Initiative. « Cependant, la société note que ni l'authentification ni l'interaction avec l'utilisateur ne sont requises, ce qui rend cette vulnérabilité très intéressante pour les auteurs d'exploits. Bien qu'il faille obtenir une interférence (race condition) pour réussir à exploiter la faille, nous avons vu de nombreux gagnants de Pwn2Own les utiliser dans leurs exploits ».
Bien qu'il n'y ait cette fois aucune vulnérabilité activement exploitée ou divulguée publiquement ce mois-ci, certaines non critiques méritent toutefois de s'y intéresser de près. C'est le cas par exemple de la CVE-2024-20677 donnant la capacité à des cybercriminels de créer des documents Office vérolés avec des fichiers de modèles 3D FBX intégrés débouchant sur de l'exécution de code à distance. « Il existe une faille de sécurité dans FBX qui pourrait conduire à l'exécution de code à distance. Pour atténuer cette vulnérabilité, la possibilité d'insérer des fichiers FBX a été désactivée dans Word, Excel, PowerPoint et Outlook pour Windows et Mac », explique Microsoft dans son bulletin de sécurité. « Les versions d'Office qui avaient cette fonctionnalité activée n'y auront plus accès. Cela inclut Office 2019, Office 2021, Office LTSC pour Mac 2021 et Microsoft 365 ».
Commentaire