Microsoft a publié mardi sa mise à jour de sécurité mensuelle, traitant 61 différentes vulnérabilités affectant ses logiciels, y compris deux problèmes critiques impactant Windows Hyper-V qui pourraient conduire à un déni de service (DoS) et une exécution de code à distance.
Parmi les 61 vulnérabilités, deux sont classées comme Critiques, 58 sont considérées comme Importantes et une est évaluée comme Faible en termes de gravité. Aucune des failles n’est répertoriée comme publiquement connue ou sous attaque active au moment de la publication, mais six d’entre elles ont été marquées avec une évaluation « Exploitation Plus Probable ».
Les corrections s’ajoutent à 17 failles de sécurité qui ont été corrigées dans le navigateur Edge basé sur Chromium de l’entreprise depuis la mise à jour de Patch Tuesday de février 2024.
Les principales lacunes critiques sont les CVE-2024-21407 et CVE-2024-21408, qui affectent Hyper-V et pourraient résulter en une exécution de code à distance et une condition de DoS, respectivement.
La mise à jour de Microsoft traite également des failles d’élévation de privilèges dans le Conteneur Confidentiel du Service Kubernetes Azure (CVE-2024-21400, score CVSS : 9.0), le Système de Fichiers d’Image Composite Windows (CVE-2024-26170, score CVSS : 7.8) et l’Authentificateur (CVE-2024-21390, score CVSS : 7.1).
L’exploitation réussie du CVE-2024-21390 nécessite que l’attaquant ait une présence locale sur l’appareil soit via un logiciel malveillant, soit une application malicieuse déjà installée par un autre moyen. Cela nécessite également que la victime ferme et rouvre l’application Authenticator.
« L’exploitation de cette vulnérabilité pourrait permettre à un attaquant d’obtenir l’accès aux codes d’authentification à plusieurs facteurs pour les comptes de la victime, ainsi que de modifier ou supprimer des comptes dans l’application d’authentification mais sans empêcher l’application de se lancer ou de fonctionner, » a déclaré Microsoft dans un avis.
« Bien que l’exploitation de cette faille soit considérée comme moins probable, nous savons que les attaquants cherchent des moyens de contourner l’authentification à plusieurs facteurs, » a déclaré Satnam Narang, ingénieur de recherche principal chez Tenable, dans une déclaration partagée avec The Hacker News.
« Avoir accès à un appareil cible est déjà assez grave car ils peuvent surveiller les frappes au clavier, voler des données et rediriger les utilisateurs vers des sites de phishing, mais si l’objectif est de rester discret, ils pourraient maintenir cet accès et voler les codes d’authentification à plusieurs facteurs afin de se connecter à des comptes sensibles, voler des données ou détourner complètement les comptes en changeant les mots de passe et en remplaçant l’appareil d’authentification à plusieurs facteurs, verrouillant effectivement l’utilisateur hors de ses comptes. »
Une autre vulnérabilité notable est un bug d’élévation de privilèges dans le composant Print Spooler (CVE-2024-21433, score CVSS : 7.0) qui pourrait permettre à un attaquant d’obtenir des privilèges SYSTEM mais uniquement après avoir remporté une condition de compétition.
La mise à jour comble également une faille d’exécution de code à distance dans Exchange Server (CVE-2024-26198, score CVSS : 8.8) qu’un acteur de menace non authentifié pourrait exploiter en plaçant un fichier spécialement conçu dans un répertoire en ligne et en trompant une victime pour qu’elle l’ouvre, résultant en l’exécution de fichiers DLL malveillants.