mdbildes - stock.adobe.com

Le Patch Tuesday de février corrige deux failles inédites de Windows

Les administrateurs doivent se concentrer sur le déploiement rapide du correctif pour une vulnérabilité critique dans Outlook et faire preuve de prudence lors de l’application d’une mise à jour cumulative d’Exchange Server 2019.

Les administrateurs qui gèrent le parc de systèmes Windows de leur organisation voudront accélérer l’application des correctifs du Patch Tuesday de février : Microsoft a corrigé deux vulnérabilités inédites, ou 0day, qui affectent à la fois les serveurs et les postes de travail.

Ce mois-ci, Microsoft a corrigé 73 nouvelles vulnérabilités et fourni des mises à jour pour sept bogues plus anciens. Cinq vulnérabilités ont été jugées critiques. Outre les deux 0day, les administrateurs devraient envisager un déploiement rapide pour une faille critique d’Exchange Server, un bogue critique de Microsoft Outlook et des mesures d’atténuation pour une ancienne vulnérabilité d’usurpation du programme d’installation de Windows AppX.

Deux failles de Windows en tête de la liste des priorités en matière de correctifs

La fonction de mise à jour cumulative de Windows résoudra la plupart des vulnérabilités de ce mois, y compris deux failles qui ont été activement exploitées.

La première 0day est une vulnérabilité de contournement de la fonction de sécurité des fichiers de raccourcis Internet (CVE-2024-21412) classée importante avec un score CVSS de 8.1 qui affecte autant Windows pour poste de travail que Windows pour serveur. Un attaquant non authentifié pourrait envoyer le raccourci à un utilisateur qui devrait ouvrir le fichier malveillant pour déclencher l’exploit, ce qui permettrait à l’attaquant d’éviter les contrôles de sécurité du système.

La seconde vulnérabilité inédite est une vulnérabilité de contournement de la fonction de sécurité SmartScreen de Windows (CVE-2024-21351) classée modérée avec un score CVSS de 7,6, affectant les versions serveur et poste de travail de Windows. Un attaquant doit convaincre un utilisateur d’ouvrir un fichier malveillant pour déclencher l’exploit afin d’éviter la marque de l’identifiant de la zone Web et de contourner les protections SmartScreen de Microsoft Defender.

Chris Goettl, vice-président d’Ivanti en charge de la gestion des produits de sécurité, estime que les administrateurs devraient considérer cette faille comme une vulnérabilité critique, et non modérée, car elle a été activement exploitée avant l’arrivée des mises à jour de sécurité du Patch Tuesday.

Chris Goettl, vice president of product management for security products, IvantiChris Goettl, Ivanti

« Les évaluations (de la gravité) sont statiques et ne tiennent pas compte du fait que l’incident a été signalé à Microsoft à la suite d’une attaque réelle », a-t-il déclaré.

Microsoft fournit un correctif pour la vulnérabilité critique d’Exchange Server

Exchange Server, le serveur de messagerie et système de calendrier sur site, revient sur le devant de la scène des correctifs avec une vulnérabilité d’élévation de privilèges (CVE-2024-21410) jugée critique pour les systèmes Exchange 2016 et Exchange 2019.

Avec un score CVSS de 9,8, cette vulnérabilité présente l’un des taux d’exploitabilité les plus élevés pour le Patch Tuesday de février. Si elle est exploitée, la vulnérabilité peut conférer à l’attaquant des privilèges au niveau du système.

« Si vous avez activé les protections de relais d’authentification NTLM, une grande partie du risque lié à cette vulnérabilité est atténuée », estime Chris Goettl. « Microsoft précise que cela ne signifie pas que vous êtes en sécurité, mais qu’il sera beaucoup plus difficile de tirer parti de cette vulnérabilité ».

Microsoft a publié une mise à jour cumulative (CU) pour Exchange 2019, mais pas pour Exchange 2016. Selon un responsable de Microsoft sur le blog de l’équipe Exchange, Exchange 2016 ne recevra pas de mise à jour cumulative, mais l’activation de la protection étendue permettra d’atténuer cette vulnérabilité.

Les administrateurs doivent savoir que l’installation de l’UC14 active automatiquement la protection étendue sur Exchange Server 2019, mais ne vérifie pas que le système est configuré pour exécuter cette fonction de sécurité.

« Si vos serveurs ne sont pas prêts à utiliser la [protection étendue] (par exemple, s’ils utilisent le délestage SSL ou si les configurations TLS du client et du serveur ne correspondent pas) et si vous ne désactivez pas l’activation de la [protection étendue] lors de l’installation, il est possible que certaines fonctionnalités soient interrompues après l’installation de la CU14 », écrit l’éditeur dans un billet de blog.

Une ancienne vulnérabilité de Windows continue de refaire surface

Lors du Patch Tuesday de février, Microsoft a réédité une vulnérabilité d’usurpation du programme d’installation de Windows AppX (CVE-2021-43890) classée importante qui avait été publiée pour la première fois lors du Patch Tuesday de décembre 2021. Un attaquant pourrait ajouter un logiciel malveillant à une pièce jointe et convaincre l’utilisateur de l’ouvrir pour déclencher l’exploit afin que l’attaquant puisse échapper aux mesures de sécurité et exécuter du code sur le système.

« Utiliser l’ingénierie sociale pour amener un utilisateur à faire ce que l’on veut qu’il fasse est un jeu de statistiques, pas un véritable défi », relève Chris Goettl. « Avec suffisamment de temps et d’efforts, et surtout aujourd’hui avec l’habileté dont font preuve les acteurs de la menace avec l’IA générative, cela devient beaucoup plus facile ».

Bien que le programme d’installation d’AppX soit fourni avec Windows, il ne fait pas partie du modèle de mise à jour cumulative. Si ce composant du système n’est pas mis à jour, l’organisation peut être exposée à une attaque. Microsoft a publié trois changements d’information pour ce CVE depuis le 7 décembre 2023, fournissant à chaque fois des informations supplémentaires afin de protéger les systèmes Windows. Le CVE de Microsoft demande aux administrateurs d’installer la dernière version du programme d’installation d’AppX, qui désactive le gestionnaire de schéma URI ms-appinstaller, ou de désactiver le protocole ms-appinstaller pour les organisations qui ne peuvent pas passer à la dernière version.

Autres mises à jour de sécurité à noter pour le Patch Tuesday de février

  • Une vulnérabilité d’exécution de code à distance de Microsoft Outlook (CVE-2024-21413) classée critique avec un score CVSS de 9.8. Le volet de prévisualisation d’Outlook est un vecteur d’attaque. L’attaquant peut contourner les protections d’un système vulnérable via un lien malveillant, ce qui pourrait lui permettre d’accéder aux informations d’identification NTLM sur le système exploité.
  • Une vulnérabilité Windows Pragmatic General Multicast (PGM) d’exécution de code à distance (CVE-2024-21357) classée critique avec un score CVSS de 7,5. Selon Chris Goettl, cette vulnérabilité est préoccupante, car les attaquants peuvent cibler un grand segment de votre réseau – et potentiellement des segments adjacents – sans authentification, puis se déplacer latéralement dans l’environnement avec un minimum d’effort.
  • Une vulnérabilité de déni de service de Windows Hyper-V (CVE-2024-20684) classée critique avec un score CVSS de 6.5 affecte les systèmes Windows 11 et Windows Server 2022. Un attaquant qui exploite la faille peut perturber les capacités de l’hôte Hyper-V.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)