Petit répit pour les entreprises ce mois-ci concernant la traditionnelle salve de correctifs de sécurité dans le cadre du Patch tuesday de Microsoft. En effet en mars, l'éditeur n'a pas corrigé de failles en cours d'exploit ce qui malgré tout ne doit pas les empêcher de les appliquer dès que possible pour prévenir les risques. Alors que trouve t'on dans ce paquet ? 64 vulnérabilités - seulement - ont été corrigées, incluant notamment 3 CVE bénéficiant de correctifs pour Chromium déjà publiés par des tiers que Microsoft a inclus dans sa liste.
De nombreux composants et logiciels sont concernés : Windows, Windows Components; Office et Office Components, Azure, .NET Framework et Visual Studio, SQL Server, Skype, Microsoft Components for Android et Microsoft Dynamics. Mais on retiendra surtout les deux failles critiques concernant Hyper-V dont la CVE-2024-21407 qui pourrait entraîner de l'exécution de code à distance (RCE). « Cette vulnérabilité offre à un utilisateur d'un système d'exploitation invité d'exécuter un code arbitraire sur le système d'exploitation hôte », indique la Zero Day Initiative. « On parle souvent d'une fuite de l'invité vers l'hôte et elle pourrait être utilisée pour avoir un impact sur d'autres systèmes d'exploitation invités sur le serveur ». Son score CVSS est de 8.1. L'autre brèche critique est la CVE-2024-21408 affectant également l'hyperviseur de Microsoft en débouchant potentiellement sur du déni de service (CVSS 5.5.).
Score CVSS de 9.8 pour la CVE-2024-21334
Deux autres trous de sécurité ne sont pas à négliger. En particulier celui relatif à Exchange avec à la clé de la possible exécution de code distant (CVE-2024-26198) ainsi qu'un autre (CVE-2024-21334) concernant Open Management Infrastructure, également exposé à à ce type d'exploit. « Ce bogue obtient la note CVSS la plus élevée pour cette version avec 9.8. Il permettrait à un attaquant distant non authentifié d'exécuter du code sur des instances OMI sur Internet. On ne sait pas exactement combien de ces systèmes sont accessibles via Internet, mais il s'agit probablement d'un nombre important. Microsoft lui attribue la mention Exploitation moins probable, mais étant donné qu'il s'agit d'un simple bogue Use After Free (UAF) sur une cible juteuse, je m'attends à ce que les recherches sur le port TCP 5986 augmentent bientôt », prévient Dustin Childs, expert en sécurité au sein de la Zero Day Initiative.
Commentaire