11/12/2024

Actu Cybersécurité

Patch Tuesday – Avril 2024 : 150 vulnérabilités corrigées, ainsi que 2 failles zero-day !

Le mardi 9 avril 2024, Microsoft a dévoilé son nouveau Patch Tuesday qui va permettre de corriger 150 failles de sécurité, ainsi que 2 zero-day ! Faisons le point sur ce "très gros Patch Tuesday" d'avril 2024 !

Même si ce Patch Tuesday corrige 150 vulnérabilités dans les différents produits de Microsoft, il n'y a que 3 failles de sécurité critiques alors que 67 d'entres elles permettent une exécution de code à distance (RCE). Les trois failles de sécurité critiques ont été corrigées dans Microsoft Defender for IoT : CVE-2024-29053, CVE-2024-21323 et CVE-2024-21322.

Bien d'autres produits et services de chez Microsoft sont concernés par ce nouveau Patch Tuesday, notamment Azure (Azure Arc, Azure Migrate, Azure Monitor, Azure SDK, etc.), Microsoft Office (Outlook, Excel, SharePoint), le rôle "Serveur DNS" (7 vulnérabilités), le rôle "Hyper-V", SQL Server, le rôle "Serveur DHCP" (4 vulnérabilités) et Windows (BitLocker, Windows Defender Credentials Guard, Kerberos, le composant LSASS, le Secure Boot ou encore le noyau de Windows). De plus, Microsoft a corrigé 5 failles de sécurité dans son navigateur Edge.

Deux failles de sécurité zero-day

Microsoft a corrigé deux failles de sécurité zero-day et il s'avère qu'elles sont activement exploitées dans des attaques de logiciels malveillants. Pour en savoir plus sur cette vulnérabilité, vous pouvez lire cet article où nous apportons des détails supplémentaires :

CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)

La faille de sécurité CVE-2024-26234 a été remontée à Microsoft par Christopher Budd de chez Sophos. D'ailleurs, Sophos a indiqué que cette vulnérabilité était associée à un pilote malveillant étant signé avec un certificat "Microsoft Hardware Publisher" valide, ce qui lui permet d'être approuvé par le système d'exploitation Windows.

Ce pilote malveillant et signé a été utilisé dans le cadre de cyberattaques pour déployer une porte dérobée (backdoor) sur les machines compromises. Sans surprise, compte tenu de l'origine de ce problème de sécurité, toutes les versions de Windows et Windows Server sont affectées (à partir de Windows Server 2008), y compris les plus récentes.

CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)

Microsoft semble avoir des difficultés à corriger une faiblesse de longue date dans la fonction de sécurité SmartScreen de Windows. En effet, Microsoft a déjà publié plusieurs correctifs, mais à chaque fois, le patch parvient à être contourné. Ainsi, la faille de sécurité CVE-2024-29988 permet de bypasser le correctif CVE-2024-21412, qui lui-même permettait de bypasser le correctif CVE-2023-36025. Ceci permet d'ouvrir des fichiers malveillants sur la machine sans déclencher le filtre SmartScreen, c'est-à-dire qu'il n'y a pas de fenêtre d'avertissement pour demander à l'utilisateur de confirmer l'ouverture du fichier.

Le groupe de pirates Water Hydra a fait usage de cette vulnérabilité dans SmartScreen dans le cadre de cyberattaques ayant pour objectif d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT).

Versions affectées : Windows 10 Version 1809 et versions supérieures et Windows Server 2019 et versions supérieures.

Les mises à jour pour Windows 10 et Windows 11

Pour en savoir plus sur les nouvelles mises à jour pour Windows 10 et Windows 11, retrouvez nos deux articles :

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.