Patch Tuesday – Août 2024 : 89 failles de sécurité et 9 zero-day corrigées par Microsoft !
Microsoft a dévoilé son Patch Tuesday du mois d'Août 2024, et le moins que l'on puisse dire, c'est que le programme est chargé. L'entreprise américaine a corrigée 89 vulnérabilités et 9 failles de sécurité zero-day. Faisons le point.
Ce mardi 13 août 2024, Microsoft a publié un Patch Tuesday très dense, bien qu'il y ait moins de vulnérabilités corrigées en comparaison du mois dernier. Ce qui semble exceptionnel, c'est le nombre de failles de sécurité zero-day : 9. C'est aussi le nombre de vulnérabilités critiques, dont voici la liste :
- Azure Health Bot : CVE-2024-38109
- Microsoft Copilot Studio : CVE-2024-38206
- Microsoft Dynamics : CVE-2024-38166
- Windows - Reliable Multicast Transport Driver (RMCAST) : CVE-2024-38140
- Windows Network Virtualization : CVE-2024-38160 et CVE-2024-38159
- Windows Secure Boot : CVE-2022-3775 et CVE-2023-40547
- Windows - Pile TCP/IP : CVE-2024-38063
Ce sont pas les seuls services et composants directement concernés par ce nouveau Patch Tuesday. Nous pouvons citer également .NET, Visual Studio, plusieurs applications de la suite Microsoft Office, Microsoft Teams, la bibliothèque DWM Core de Windows, le noyau Windows, Windows Routing and Remote Access Service (RRAS) et d'autres services Windows liés au réseau.
Sommaire
- Les failles zero-day corrigées par Microsoft
- CVE-2024-38178 - Windows - Moteur de script
- CVE-2024-38193 - Windows - Pilote de fonction auxiliaire pour WinSock
- CVE-2024-38213 - Windows - Mark of the Web
- CVE-2024-38106 - Noyau Windows
- CVE-2024-38107 - Windows - Power Dependency Coordinator
- CVE-2024-38189 - Microsoft Project
- CVE-2024-38199 - Windows - Service LDP
- CVE-2024-38200 - Microsoft Office
- CVE-2024-21302 - Windows - Secure Kernel
Les failles zero-day corrigées par Microsoft
Dans la suite de cet article, nous allons nous intéresser aux différentes failles de sécurité zero-day corrigées par Microsoft. Plus précisément, il y a 6 vulnérabilités activement exploitées et 3 vulnérabilités divulguées publiquement. Jusqu'ici, aucun patch n'était disponible pour ces failles de sécurité.
CVE-2024-38178 - Windows - Moteur de script
Déjà exploitée dans le cadre d'attaques, cette vulnérabilité nécessite l'utilisation d'une page web et une interaction avec l'utilisateur. Microsoft explique également que le PC doit être dans une configuration particulière : "L'exploitation réussie de cette vulnérabilité nécessite qu'un attaquant prépare d'abord la cible pour qu'elle utilise Edge en mode Internet Explorer."
Windows 10, Windows 11, ainsi que Windows Server 2012 R2 à Windows Server 2022 sont affectés.
CVE-2024-38193 - Windows - Pilote de fonction auxiliaire pour WinSock
En exploitant cette vulnérabilité, un attaquant pourrait obtenir les privilèges SYSTEM sur la machine Windows. D'ailleurs, Microsoft indique que cette vulnérabilité a déjà été exploitée dans le cadre de cyberattaques. La seule information connue, c'est qu'il s'agit d'une faiblesse de type "use after free" présente dans le pilote de fonction auxiliaire pour WinSock.
Windows 10, Windows 11, ainsi que Windows Server 2008 R2 à Windows Server 2022 sont affectés.
CVE-2024-38213 - Windows - Mark of the Web
Une nouvelle fois, une faille de sécurité permet d'outrepasser la fonctionnalité de sécurité "Mark of the Web" de Windows. Ceci facilite les attaques, car cette vulnérabilité permet l'exécution de fichiers provenant d'Internet, tout en outrepassant le filtre SmartScreen.
"Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait contourner l'expérience utilisateur de SmartScreen.", peut-on lire sur le site de l'entreprise américaine. Ceci implique que l'utilisateur ouvre le fichier malveillant reçu de la part de l'attaquant. Microsoft indique que cette vulnérabilité a été exploitée au sein d'attaques.
Windows 10, Windows 11, ainsi que Windows Server 2012 R2 à Windows Server 2022 sont affectés.
CVE-2024-38106 - Noyau Windows
Cette 4ème faille de sécurité zero-day corrigée par la firme de Redmond a déjà été exploitée par les attaquants. Elle se situe dans le noyau de Windows et permet à l'attaquant d'élever ses privilèges en tant que SYSTEM sur la machine locale. Toutefois, l'exploitation est soumise à une race condition, d'après le site de l'éditeur.
Windows 10, Windows 11, ainsi que Windows Server 2016 à Windows Server 2022 sont affectés.
CVE-2024-38107 - Windows - Power Dependency Coordinator
Là encore, il est question d'une élévation de privilèges permettant d'obtenir les privilèges SYSTEM sur Windows. Et c'est aussi une vulnérabilité déjà exploitée par les attaquants. Elle serait présente dans le composant Windows nommé "Power Dependency Coordinator ", en charge de la gestion énergétique dans le système d'exploitation de Microsoft.
Windows 10, Windows 11, ainsi que Windows Server 2012 R2 à Windows Server 2022 sont affectés.
CVE-2024-38189 - Microsoft Project
L'application Microsoft Project contient une faille de sécurité importante permettant à un attaquant d'exécuter du code à distance sur la machine Windows. Pour exploiter cette vulnérabilité, la machine de la victime doit être configurée d'une certaine façon et l'utilisateur doit ouvrir un fichier Microsoft Project malveillant. Ce fichier peut être envoyé par e-mail à la victime ou hébergé sur un serveur Web.
Microsoft précise que la stratégie "Bloquer l'exécution des macros dans les fichiers Office provenant d'Internet" doit être désactivée et les paramètres de notification des macros VBA ne doivent pas être activés. Sinon, l'exploitation n'est pas possible.
Les versions suivantes sont affectées : Microsoft Project 2016, Microsoft Office 2019, Microsoft Office 2021 LTSC et Microsoft 365 Apps for Enterprise, bien qu'il y ait une dépendance directe vis-à-vis de Project.
Microsoft indique que les cybercriminels ont déjà exploité cette faille dans des attaques. Pour les autres vulnérabilités présentées dans la suite de l'article, ce n'est pas le cas, bien qu'elles soient déjà connues publiquement.
CVE-2024-38199 - Windows - Service LDP
Microsoft a corrigé une vulnérabilité d'exécution de code à distance dans le service LDP, associé à un protocole d'impression par le réseau et disponible sur Windows.
"Un attaquant non authentifié peut envoyer une tâche d'impression spécialement conçue à un service Windows Line Printer Daemon (LPD) vulnérable partagé sur un réseau. Une exploitation réussie pourrait entraîner l'exécution de code à distance sur le serveur.", peut-on lire.
Le service LDP n'est pas installé par défaut sur Windows, et lors de l'installation d'un serveur d'impression, il doit être explicitement sélectionné pour être installé. De plus, depuis Windows Server 2012, il est considéré comme déprécié par Microsoft.
Windows 10, Windows 11, ainsi que Windows Server 2008 R2 à Windows Server 2022 sont affectés.
CVE-2024-38200 - Microsoft Office
Cette vulnérabilité présente dans Microsoft Office a été dévoilée à l'occasion de la conférence Defcon et de la présentation intitulée "NTLM - The last ride". Elle représente un risque puisqu'elle est susceptible d'exposer les hash NTLM.
L'exploitation implique une interaction de la part de l'utilisateur : "Dans un scénario d'attaque basée sur le web, un attaquant pourrait héberger un site web (ou tirer parti d'un site web compromis qui accepte ou héberge du contenu fourni par l'utilisateur) qui contient un fichier spécialement conçu pour exploiter la vulnérabilité."
Au-delà d'installer le correctif de sécurité, il est recommandé de limiter l'utilisation du protocole NTLM, notamment en environnement Active Directory. De plus, Microsoft évoque qu'un correctif de sécurité a déjà été déployé le 30 juillet 2024 via la fonction Feature Flighting de Microsoft Office.
Les versions suivantes sont affectées : Microsoft Office 2016, Microsoft Office 2019, Microsoft Office 2021 LTSC et Microsoft 365 Apps for Enterprise.
CVE-2024-21302 - Windows - Secure Kernel
Cette faille de sécurité a été révélée lors de la conférence Black Hat 2024, lors d'une présentation effectuée par Alon Leviev, un chercheur en sécurité de chez SafeBreach. Elle est associée à l'attaque Windows Downdate. Il s'agit d'un premier correctif pour cette attaque, que j'évoquerais plus en détail dans un article dédié.
De plus, vient s'ajouter à ces vulnérabilités, une dernière faille de sécurité, elle aussi liée à l'attaque Windows Downdate présentée à l'occasion de la conférence Black Hat 2024. Désormais associée à la référence CVE-2024-38202, elle présente la particularité de ne pas bénéficier d'un correctif de sécurité.
Des articles au sujet des nouvelles mises à jour pour Windows 10 et Windows 11 seront aussi mis en ligne.