nnattalli - stock.adobe.com
Microsoft : Patch Tuesday massif avec 2 vulnérabilités inédites
Microsoft a révélé et corrigé 142 vulnérabilités lors d’un Patch Tuesday particulièrement chargé, incluant deux failles zero-day exploitées activement.
Microsoft a traité rien moins que 142 vulnérabilités avec son Patch Tuesday de juillet 2024. Dans le lot, deux vulnérabilités inédites, des 0day, présentées comme activement exploitées.
Parmi les vulnérabilités inédites, on compte notamment la CVE-2024-38080, permettant l’élévation de privilèges dans l’hyperviseur Hyper-V de Microsoft, affectant Windows 11 et Windows Server 2022. Cette vulnérabilité a reçu un score CVSS de 7,8 et a été jugée importante. Microsoft indique que l’exploitation de cette faille a été détectée, bien que l’étendue de l’activité associée reste à préciser. La faille a été signalée à Microsoft par une personne anonyme.
La seconde faille 0day corrigée est la CVE-2024-38112, une vulnérabilité de spoofing dans la plateforme MSHTML de Windows. Elle s’est vue attribuer un score CVSS de 7,5 et a également été jugée importante. Son exploitation permet à un attaquant d’envoyer des fichiers malveillants à travers le réseau, bien que Microsoft ait noté dans l’avis que des actions supplémentaires sont nécessaires avant l’exploitation pour préparer l’environnement cible.
« Les attaquants peuvent exploiter cette faille à distance s’ils sont déjà sur votre réseau, ce qui n’est pas difficile à réaliser », a déclaré Chris Goettl, vice-président de la gestion des produits de sécurité chez Ivanti. « Cela affecte toutes les versions de Windows, même jusqu’à Windows Server 2008 ».
Microsoft a attribué à Haifei Li, de Check Point Software Technologies, la découverte et le signalement de la CVE-2024-38112. Dans un post sur X, anciennement Twitter, Li a exprimé sa frustration envers Microsoft, affirmant que le géant du logiciel avait divulgué et corrigé la faille plus tôt que prévu et sans notifier Check Point du changement de calendrier.
Autres vulnérabilités
Microsoft a également corrigé deux autres vulnérabilités considérées comme inédites parce qu’elles ont été rendues publiques – bien que non exploitées dans la nature – avant leur divulgation officielle lors du Patch Tuesday de ce mois-ci.
La première est la CVE-2024-35264, une vulnérabilité d’exécution de code à distance affectant .NET version 8.0 et Visual Studio 2022. Cette faille a obtenu un score CVSS de 8,1 et a été jugée importante. L’avis de Microsoft indique que l’exploitation réussie de la faille nécessite que l’attaquant remporte une condition de concurrence. La société n’a pas précisé qui a initialement publié la CVE-2024-35264 ni où elle a été rendue publique. Cependant, l’employé de Microsoft Radek Zikmund a été crédité de la découverte de la faille.
La deuxième vulnérabilité 0day divulguée est la CVE-2024-37985, une faille de divulgation d’informations dans les versions de Windows 11 pour les systèmes Arm64 ; elle a reçu un score CVSS de 5,9 et a également été jugée importante. Selon Microsoft, un attaquant pourrait exploiter la vulnérabilité pour visualiser la mémoire du tas des processus privilégiés sur un serveur ciblé.
La complexité de l’attaque pour la CVE-2024-37985 est considérée comme élevée, et dès lors son exploitation « moins probable », selon l’avis de Microsoft. Cependant, Chris Goettl estime souhaitable de prioriser cette vulnérabilité.
« Un processus privilégié est celui qui va contenir beaucoup plus d’informations sensibles », relève-t-il. Dès lors, si « les chances d’exploitation sont plus faibles, mais parce qu’elle a été divulguée, cela donne aux acteurs malveillants une idée plus précise de l’endroit où chercher cette faille. Le risque est plus élevé que, disons, certaines failles critiques qui n’ont pas de divulgation associée ».
En outre, Microsoft a corrigé la CVE-2024-38060, une faille d’exécution de code à distance affectant le Windows Imaging Component, un framework pour le traitement des images. La vulnérabilité a reçu un score CVSS de 8,8 et est jugée critique. Un attaquant pourrait exploiter cette faille en téléchargeant un fichier TIFF malveillant sur un serveur ciblé.
Enfin, ce Patch Tuesday massif couvre 38 vulnérabilités d’exécution de code à distance dans SQL Server seul.