Après une moisson de correctifs particulièrement fournie en avril, la dernière salve de patchs de sécurité de Microsoft pour mai l'est beaucoup moins. L'éditeur comble ainsi seulement 60 vulnérabilités, mais comme ce n'est pas le nombre qui compte, il faut vraiment se méfier de certaines d'entre elles.
A commencer par la zero day CVE-2024-30051 (score CVSS 7.8) relative à de l'élévation de privilèges dans Windows DWM Core Library. Cette faille ouvre la voie aux attaquants pour de l'escalade système sur les machines affectées. "Ces types de bogues sont généralement combinés à un bogue d'exécution de code pour prendre le contrôle d'une cible et sont souvent utilisés par les ransomwares", avertit la Zero Day Initiative. La firme de Redmond attribue la découverte et le signalement de cette vulnérabilité à Mert Degirmenci et Boris Larin de Kaspersky, Quan Jin et Guoxian Zhong de DBAPPSecurity WeBin Lab, Vlad Stolyarov et Benoit Sevens de Google Threat Analysis Group, et Bryce Abdo et Adam Brunner de Google Mandiant. Selon l'équipe de Kaspersky, le CVE-2024-30051 est utilisé pour déployer le cheval de Troie bancaire Qakbot et d'autres logiciels malveillants, et elle "pense que de multiples acteurs de la menace y ont accès".
La fonction de sécurité de Windows MSHTML contournée
Autre faille exploitée (mais non divulguée) à corriger dès que possible, la CVE-2024-30040 (score CVSS 8.8) contourne la fonction de sécurité dans Windows MSHTML et les mesures d'atténuation OLE dans Microsoft 365 et Office pour exécuter du code malveillant. " Un attaquant doit convaincre l'utilisateur de charger un fichier malveillant sur un système vulnérable, généralement par le biais d'un message électronique ou de messagerie instantanée, puis convaincre l'utilisateur de manipuler le fichier spécialement conçu, mais pas nécessairement de cliquer sur le fichier malveillant ou de l'ouvrir ", explique Microsoft. " Un attaquant non authentifié qui réussirait à exploiter cette vulnérabilité pourrait exécuter du code en convainquant un utilisateur d'ouvrir un document malveillant, ce qui lui permettrait d'exécuter du code arbitraire dans le contexte de l'utilisateur ".
Il faut aussi se méfier du trou sécurité critique (score CVSS 8.8) identifié en tant que CVE-2024-30044. " Un attaquant authentifié disposant de l'autorisation Site Owner peut utiliser cette vulnérabilité pour injecter du code arbitraire et exécuter ce code dans le contexte de SharePoint Server ", prévient la firme de Redmond. " Un attaquant authentifié disposant des permissions du propriétaire du site ou d'un niveau plus élevé pourrait télécharger un fichier spécialement conçu vers le serveur SharePoint ciblé et élaborer des requêtes API spécialisées pour déclencher la désérialisation des paramètres du fichier ".