Après 79 failles corrigées par Microsoft en septembre dans ses produits, ce mois d'octobre s'avère être encore un meilleur cru. La firme de Redmond a ainsi comblé 117 trous de sécurité (dont 43 RCE) incluant 5 zero day dont deux sont activement exploités : la CVE-2024-43573 (usurpation d'identité de la plate-forme MSHTML de Windows) et la CVE-2024-43572 (exécution de code à distance de Microsoft Management Console). Considérée comme présentant un risque modéré, la première s'avère très similaire au bug corrigé en juillet dans le même composant (MSHTML), qui a été utilisé par le groupe APT connu sous le nom de Void Banshee selon les chercheurs de la Zero Day Initiative (ZDI). Sans donner plus de détails, Microsoft a précisé que MSHTML est utilisée par le mode Internet Explorer dans Edge ainsi que par d'autres applications via le contrôle WebBrowser. Le module EdgeHTML est utilisé par WebView et certaines applications UWP. Les plateformes de script sont utilisées par MSHTML et EdgeHTML mais peuvent également être utilisées par d'autres applications héritées.
Présenté également comme un risque modéré, le second exploit CVE-2024-43572, permet à des fichiers Microsoft Saved Console (MSC) malveillants d'exécuter du code à distance sur des appareils vulnérables. La faille a été comblée, empêchant ainsi l'ouverture de fichiers MSC non fiables. On n'en sait en revanche pas plus sur la façon dont cette faille a été activement exploitée dans les attaques. "Compte tenu de la quantité d'ingénierie sociale nécessaire pour exploiter ce bogue, je pense que les attaques sont limitées à ce stade", a cependant indiqué un chercheur de la ZDI. "Néanmoins, compte tenu des dommages qui pourraient être causés par un administrateur chargeant un snap-in malveillant, je testerais et déploierais cette mise à jour rapidement."
Vigilance sur trois zero day non exploitées
Bien que non activement exploitées, trois autres zero day nécessitent une attention particulière. A commencer par la CVE-2024-6197 (exécution de code à distance du logiciel open source Curl). "Le chemin de code vulnérable peut être déclenché par un serveur malveillant offrant un certificat TLS spécialement conçu", explique un avis de sécurité de Curl. Microsoft a corrigé la faille en mettant à jour la bibliothèque libcurl utilisée par l'exécutable Curl fourni avec Windows. La CVE-2024-20659 (contournement des fonctionnalités de sécurité de Windows Hyper-V) nécessite aussi de la vigilance. Celle-ci concerne les machines virtuelles au sein d'une machine hôte UEFI (Unified Extensible Firmware Interface) : "Sur certains matériels spécifiques, il peut être possible de contourner l'UEFI, ce qui pourrait compromettre l'hyperviseur et le noyau sécurisé", a prévenu Microsoft sachant qu'un attaquant doit avoir un accès physique au système cible et doit le redémarrer pour que l'exploit soit effectué. La CVE-2024-43583 (élévation des privilèges de Winlogon) est également dangereuse car pouvant procurer des droits systèmes aux attaquants. "Pour remédier à cette faille, assurez-vous qu'un IME Microsoft de premier niveau est activé sur votre terminal", explique Microsoft.
Attention aussi à trois autres failles critiques d'exécution de code à distance : CVE-2024-43468 (relatif à Microsoft Configuration Manager), CVE-2024-43582 (concernant Remote Desktop Protocol Server) et la CVE-2024-43488 (affectant Visual Studio Code extension for Arduino).