Microsoft Patch Tuesday Février 2024

Satnam Narang, Senior Staff Research Engineer chez Tenable partage son expertise sur la mise à jour du Patch Tuesday de Microsoft de ce mois-ci. Microsoft a corrigé 73 CVE dans sa version du Patch Tuesday de février 2024, y compris deux vulnérabilités zero-day exploitées dans la nature.

Contournement de la fonctionnalité de sécurité dans Windows SmartScreen

CVE-2024-21351 est une vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows SmartScreen. Elle a été exploitée dans la nature en tant que zero-day, bien que nous n’ayons pas d’informations spécifiques sur l’exploitation dans la nature. Ce que nous savons, c’est que l’exploitation nécessite qu’un attaquant utilise l’ingénierie sociale pour convaincre une victime potentielle d’ouvrir un fichier malveillant. Il s’agit de la cinquième vulnérabilité de Windows SmartScreen corrigée depuis 2022 et toutes les cinq ont été exploitées dans la nature en tant que zero-days. Il s’agit de CVE-2022-44698 en décembre 2022, CVE-2023-24880 en mars 2023, CVE-2023-32049 en juillet 2023 et CVE-2023-36025 en novembre 2023.

Contournement de la fonction de sécurité dans les fichiers de raccourcis Internet

CVE-2024-21412 est une vulnérabilité de contournement de la fonction de sécurité dans les fichiers de raccourcis Internet et elle a également été exploitée dans la nature en tant que jour zéro. Comme CVE-2024-21351, l’exploitation de cette faille nécessite qu’un attaquant utilise l’ingénierie sociale pour convaincre sa cible d’ouvrir un fichier de raccourci malveillant. Les détails spécifiques de cette vulnérabilité n’étaient pas disponibles au moment de la publication de Patch Tuesday, mais elle est créditée à plusieurs chercheurs, il est donc possible que des détails émergent assez rapidement sur l’exploitation dans la nature.

Une vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server

CVE-2024-21410 est une vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server. Selon Microsoft, cette faille est plus susceptible d’être exploitée par des attaquants. L’exploitation de cette vulnérabilité pourrait entraîner la divulgation du hachage Net-New Technology LAN Manager (NTLM) version 2 d’un utilisateur ciblé, qui pourrait être retransmis à un serveur Exchange vulnérable dans le cadre d’un relais NTLM ou d’une attaque de type « pass-the-hash », ce qui permettrait à l’attaquant de s’authentifier en tant qu’utilisateur ciblé.

Nous savons que les failles qui peuvent divulguer des informations sensibles telles que les hachages NTLM sont très précieuses pour les attaquants. Un acteur de la menace basé en Russie a exploité une vulnérabilité similaire pour mener des attaques – CVE-2023-23397 est une vulnérabilité d’élévation de privilèges dans Microsoft Outlook patchée en mars 2023.

Il est extrêmement important que les organisations qui utilisent Microsoft Exchange Server appliquent les derniers correctifs car elles sont une cible fréquente pour les attaquants. Microsoft note qu’avant sa mise à jour cumulative 14 (CU14) d’Exchange Server 2019, une fonctionnalité de sécurité appelée Extended Protection for Authentication (EPA), qui fournit des protections de relais de crédibilité NTLM, n’était pas activée par défaut. Désormais, la CU14 l’active par défaut sur les serveurs Exchange, c’est pourquoi il est important de procéder à la mise à niveau.