Patch Tuesday Septembre 2024

Satnam Narang, Senior Staff Research Engineer chez Tenable partage son expertise sur la mise à jour du Patch Tuesday de Microsoft de ce mois-ci.

Microsoft a corrigé deux vulnérabilités de type zero day qui permettent de contourner les fonctions de sécurité de Microsoft Office et de Windows Mark-of-the-Web. Celles-ci ont été exploitées dans la nature, bien que les détails n’aient pas été divulgués publiquement.

Une faille dans Microsoft Publisher et une vulnérabilité dans Mark-of-the-Web

CVE-2024-38226 est une faille dans Microsoft Publisher, une application autonome incluse dans certaines versions de Microsoft Office. CVE-2024-38217 est une vulnérabilité dans Mark-of-the-Web, une importante fonction de sécurité de Microsoft Windows qui signale ou bloque le contenu des fichiers téléchargés depuis internet.

L’exploitation de ces deux vulnérabilités peut conduire au contournement d’importantes fonctions de sécurité bloquant l’exécution des macros de Microsoft Office. Dans les deux cas, la cible doit être convaincue d’ouvrir un fichier spécialement conçu à partir d’un serveur contrôlé par l’attaquant. La différence est qu’un attaquant doit être authentifié sur le système et disposer d’un accès local pour exploiter CVE-2024-38226.

CVE-2024-38217 est la deuxième vulnérabilité de type zero day de Mark-of-the-Web qui a été exploitée dans la nature : en août, Microsoft a publié un avis concernant la vulnérabilité CVE-2024-38213, corrigée dans le Patch Tuesday de juin mais « omise par inadvertance » dans cette version. Également connue sous le nom de « Copy2Pwn », elle était liée à la campagne DarkGate, qui comprenait l’utilisation d’une autre vulnérabilité zero day, CVE-2024-21412. Water Hydra, le groupe APT à l’origine de cette campagne, semble avoir un penchant pour la découverte et l’exploitation de ce type de vulnérabilités, même s’il n’est pas certain que CVE-2024-38217 leur soit attribuable.

Une faille d’élévation de privilèges de Windows Installer

Microsoft a également corrigé CVE-2024-38014, une faille d’élévation de privilèges de Windows Installer exploitée dans la nature en tant que zero day. Ce type de vulnérabilités étant lié à des activités postérieures à la compromission, il ne reçoit pas autant d’attention que les bugs d’exécution de code à distance, mais est précieux pour les attaquants car permet d’infliger plus de dégâts ou de compromettre plus de données. Les organisations doivent corriger ces failles pour couper les voies d’attaque et empêcher toute compromission future.

Une vulnérabilité dans le Servicing Stack

Microsoft a également corrigé la vulnérabilité CVE-2024-43491 dans son Servicing Stack, qui a conduit à l’annulation des correctifs pour des versions spécifiques de Windows 10 affectant certains composants optionnels. Elle a été étiquetée « Exploitation Detected », ce qui implique qu’elle a été exploitée dans la nature. Cependant, elle semble l’avoir été car le retour en arrière des correctifs a réintroduit des vulnérabilités dans les composants optionnels qui étaient auparavant connus pour être exploités. Les utilisateurs doivent donc appliquer à la fois la mise à jour Servicing Stack et les mises à jour de sécurité de Windows de ce mois-ci.

Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr

Microsoft Patch Tuesday Avril 2024

Microsoft Patch Tuesday Mars 2024

Microsoft Patch Tuesday Février 2024

Microsoft Patch Tuesday Mai 2024

Microsoft Patch Tuesday Juin 2024