Après 117 failles corrigées dans son patch tuesday d'octobre, Microsoft poursuit sur sa lancée ce mois-ci avec une salve de 91 vulnérabilités comblées. Parmi les failes bénéficiant de correctifs publiés ce mardi, deux sont activement exploitées. "Cela représente un autre mois important de correctifs de la part du géant de Redmond et porte à 949 le nombre de CVE traités depuis le début de l'année", a expliqué la Zero Day Initiative (ZDI). "Avant même de compter les correctifs de décembre, 2024 est la deuxième année la plus riche en correctifs pour Microsoft."
Parmi les deux failles exploitées on trouve la CVE-2024-43451 de type spoofing qui révèle le hash NTLMv2 d'un utilisateur Windows qu’un attaquant peut utiliser pour s’authentifier sur un système en employant une technique appelée pass-the-hash. "À ma connaissance, c’est la troisième vulnérabilité de ce type exploitée dans la nature en 2024 capable de divulguer le hash NTLMv2 d’un utilisateur", a expliqué Satnam Narang, ingénieur de recherche senior chez Tenable. " Bien que nous n’ayons pas de détails sur l’exploitation de la CVE-2024-43451 en conditions réelles, une chose est certaine : les attaquants persistent à découvrir et exploiter des vulnérabilités zero-day susceptibles de divulguer des hashes NTLMv2, car ceux-ci permettent de s’authentifier sur des systèmes et de se déplacer latéralement au sein d’un réseau pour accéder à d'autres systèmes." Le second exploit, CVE-2024-49039, concerne le planificateur de tâches de Windows et nécessite qu'un attaquant authentifié sur un système vulnérable ouvre à distance une application malveillante. "Une fois exploitée, elle permet à l’attaquant d’élever ses privilèges, d’accéder à des ressources autrement inaccessibles, et d’exécuter du code, comme des fonctions d’appel de procédure à distance", prévient Satnam Narang.
Des privilèges root Azure CycleCoud à portée des pirates
Parmi les autres failles patchées ce mois-ci, on trouve les zero-day CVE-2024-49019 (élévation de privilèges dans les services de certificats Active Directory) et la CVE-2024-49040 (spoofing dans Microsoft Exchange Server.) A signaler également les failles critiques CVE-2024-43639 (RCE affectant Kerberos), CVE-2024-43625 (élévation de privilèges dans VMSwitch) et une autre importante au score CVSS 9.9, la CVE-2024-43602, une RCE touchant CycleCloud servant à gérer et orchestrer les environnements de calcul haute performance dans Azure. "Un utilisateur ayant les autorisations les plus basiques pourrait exploiter la CVE-2024-43602 pour obtenir des privilèges de niveau root. L’exploitation était aussi simple que l’envoi d’une requête à un cluster vulnérable d’Azure CycleCloud pour en modifier la configuration", a prévenu Satnam Narang.