Pour ce mois de juillet, Microsoft a publié un gros Patch Tuesday avec pas moins de 142 failles corrigées. Pour cette salve, 26 sont liées à de l'élévation des privilèges, 24 à du contournement des fonctions de sécurité, 59 à de l'exécution de code à distance, 9 à de la divulgation d'informations, 17 par déni de service, et 7 à de l'usurpation d'identité. Les composants Windows, Office, .NET et Visual Studio, Azure, Defender for IoT, SQL Server, Windows Hyper-V, Bitlocker, Secure Boot, ou encore Remote Desktop... Parmi les correctifs lancés, 5 sont de gravité critiques, 133 importantes et trois modérées. "Deux de ces CVE sont répertoriés comme étant publiquement connus, l'un d'entre eux étant une mise à jour d'un tiers qui est maintenant intégrée dans les produits Microsoft. Deux autres bogues sont répertoriés comme faisant l'objet d'une attaque active", indiquent des chercheurs de Zero Day Initiative.
Les deux failles exploitées en question sont les CVE-2024-38080 de score CVSS 7.8 (élévation de privilèges de Windows Hyper-V) et CVE-2024-38112 de score CVSS 7.5 (usurpation de la plate-forme MSHTML de Windows). Les deux autres trous de sécurité de type zero day sont CVE-2024-35264 (exécution de code à distance dans .NET et Visual Studio) au score CVSS de 8.1 ainsi que CVE-2024-37985 donnant la possibilité à un attaquant de visualiser la mémoire vive d'un processus privilégié s'exécutant sur un serveur basé sur un processeur ARM.
Vigilance sur la faille Windows Remote Desktop Services
Il faut par ailleurs aussi se méfier et corriger dès que possibles d'autres vulnérabilités, bien que n'étant pas des zero day et/ou exploitées. A savoir, la CVE-2024-38077 (score CVSS 9.8) relatif à de l'exécution de code à distance du service de licence de bureau à distance de Windows pour laquelle la ZDI prévient : "l'exploitation de ce problème devrait être simple, car tout utilisateur non authentifié pourrait exécuter son code simplement en envoyant un message malveillant à un serveur affecté. Une solution temporaire consisterait à désactiver le service d'octroi de licences, mais si vous l'utilisez, c'est que vous en avez probablement besoin. Il faut également veiller à ce que ces serveurs ne sont pas adressables à l'internet. Si plusieurs de ces serveurs sont connectés à l'internet, il faut s'attendre ce qu'ils soient bientôt exploités. C'est également le moment de procéder à un audit serveurs pour vérifier qu'ils n'exécutent pas de services inutiles."
Commentaire