Patch Tuesday – Avril 2024 : 150 vulnérabilités corrigées, ainsi que 2 failles zero-day !
Le mardi 9 avril 2024, Microsoft a dévoilé son nouveau Patch Tuesday qui va permettre de corriger 150 failles de sécurité, ainsi que 2 zero-day ! Faisons le point sur ce "très gros Patch Tuesday" d'avril 2024 !
Même si ce Patch Tuesday corrige 150 vulnérabilités dans les différents produits de Microsoft, il n'y a que 3 failles de sécurité critiques alors que 67 d'entres elles permettent une exécution de code à distance (RCE). Les trois failles de sécurité critiques ont été corrigées dans Microsoft Defender for IoT : CVE-2024-29053, CVE-2024-21323 et CVE-2024-21322.
Bien d'autres produits et services de chez Microsoft sont concernés par ce nouveau Patch Tuesday, notamment Azure (Azure Arc, Azure Migrate, Azure Monitor, Azure SDK, etc.), Microsoft Office (Outlook, Excel, SharePoint), le rôle "Serveur DNS" (7 vulnérabilités), le rôle "Hyper-V", SQL Server, le rôle "Serveur DHCP" (4 vulnérabilités) et Windows (BitLocker, Windows Defender Credentials Guard, Kerberos, le composant LSASS, le Secure Boot ou encore le noyau de Windows). De plus, Microsoft a corrigé 5 failles de sécurité dans son navigateur Edge.
Sommaire
Deux failles de sécurité zero-day
Microsoft a corrigé deux failles de sécurité zero-day et il s'avère qu'elles sont activement exploitées dans des attaques de logiciels malveillants. Pour en savoir plus sur cette vulnérabilité, vous pouvez lire cet article où nous apportons des détails supplémentaires :
CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)
La faille de sécurité CVE-2024-26234 a été remontée à Microsoft par Christopher Budd de chez Sophos. D'ailleurs, Sophos a indiqué que cette vulnérabilité était associée à un pilote malveillant étant signé avec un certificat "Microsoft Hardware Publisher" valide, ce qui lui permet d'être approuvé par le système d'exploitation Windows.
Ce pilote malveillant et signé a été utilisé dans le cadre de cyberattaques pour déployer une porte dérobée (backdoor) sur les machines compromises. Sans surprise, compte tenu de l'origine de ce problème de sécurité, toutes les versions de Windows et Windows Server sont affectées (à partir de Windows Server 2008), y compris les plus récentes.
CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)
Microsoft semble avoir des difficultés à corriger une faiblesse de longue date dans la fonction de sécurité SmartScreen de Windows. En effet, Microsoft a déjà publié plusieurs correctifs, mais à chaque fois, le patch parvient à être contourné. Ainsi, la faille de sécurité CVE-2024-29988 permet de bypasser le correctif CVE-2024-21412, qui lui-même permettait de bypasser le correctif CVE-2023-36025. Ceci permet d'ouvrir des fichiers malveillants sur la machine sans déclencher le filtre SmartScreen, c'est-à-dire qu'il n'y a pas de fenêtre d'avertissement pour demander à l'utilisateur de confirmer l'ouverture du fichier.
Le groupe de pirates Water Hydra a fait usage de cette vulnérabilité dans SmartScreen dans le cadre de cyberattaques ayant pour objectif d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT).
Versions affectées : Windows 10 Version 1809 et versions supérieures et Windows Server 2019 et versions supérieures.
Les mises à jour pour Windows 10 et Windows 11
Pour en savoir plus sur les nouvelles mises à jour pour Windows 10 et Windows 11, retrouvez nos deux articles :
