22/12/2024

Actu Cybersécurité

Patch Tuesday de Novembre 2024 : 91 vulnérabilités et 4 failles zero-day patchées par Microsoft !

Le Patch Tuesday de Novembre 2024 est là ! Il fait référence à 91 vulnérabilités corrigées par les équipes de Microsoft, dont 4 failles zero-day. Parmi elles, 2 sont déjà exploitées dans le cadre de cyberattaques... Voici ce que vous devez savoir.

Ce Patch Tuesday corrige 4 failles de sécurité critiques, dont la moitié permettent une exécution de code à distance, tandis que les autres permettent une élévation de privilèges. Voici la liste des failles critiques :

Pour le rester, ce Patch Tuesday de Novembre 2024 corrige des vulnérabilités dans d'autres produits et services de Microsoft tels que : Microsoft Exchange Server, la suite Microsoft Office, le rôle Hyper-V (x2), le rôle ADCS, l'implémentation de NTLM, de SMB, l'application Microsoft PC Manager, ou encore 31 failles de sécurité dans SQL Server.

Les failles de sécurité zero-day de Novembre 2024

Évoquons en détail les failles de sécurité zero-day présentes dans ce Patch Tuesday. Il y en a 4 au total, et parmi elles, 2 sont déjà exploitées dans le cadre d'attaques.

CVE-2024-43451 - NTLM - Divulgation des hash

En exploitant cette vulnérabilité, un attaquant distant peut avoir accès au hash NTLM d'un utilisateur à l'aide d'un fichier malveillant. "Cette vulnérabilité révèle le hash NTLMv2 d'un utilisateur à l'attaquant qui peut l'utiliser pour s'authentifier en tant qu'utilisateur", explique Microsoft.

Des précisions sont également fournies quant à l'exploitation de cette vulnérabilité : "Une interaction minimale avec un fichier malveillant par un utilisateur, telle que la sélection (simple clic), l'inspection (clic droit) ou l'exécution d'une action autre que l'ouverture ou l'exécution, pourrait déclencher cette vulnérabilité".

Microsoft indique que cette vulnérabilité a été exploitée dans le cadre de cyberattaques. Elle affecte Windows 10, Windows 11, ainsi que Windows Server 2008 à Windows Server 2025.

CVE-2024-49039 - Planificateur de tâches Windows - Élévation de privilèges

Également exploitée dans le cadre d'attaques, cette vulnérabilité se situe dans un composant disponible sur Windows et Windows Server : le Planificateur de tâches. Microsoft explique qu'un attaquant authentifié doit exécuter une application spécialement conçue sur le système cible et exploiter la vulnérabilité pour élever ses privilèges.

"Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter des fonctions RPC qui sont restreintes aux seuls comptes privilégiés.", peut-on lire. Microsoft indique que l'attaque peut être réalisée à partir d'un AppContainer avec un faible niveau de privilèges (isolation des applications).

Elle affecte Windows 10, Windows 11, ainsi que Windows Server 2016 à Windows Server 2025.

CVE-2024-49040 - Microsoft Exchange Server - Spoofing

Microsoft a corrigé une faille de sécurité connue, mais non exploitée, dans sa solution Microsoft Exchange. Elle permet aux attaquants d'usurper l'adresse électronique de l'expéditeur dans les e-mails adressés à des destinataires locaux.

"La vulnérabilité est due à l'implémentation actuelle de la vérification de l'en-tête P2 FROM, qui a lieu dans le transport. L'implémentation actuelle permet à certains en-têtes P2 FROM non conformes à la RFC 5322 de passer, ce qui peut conduire le client de messagerie (par exemple, Microsoft Outlook) à afficher un expéditeur falsifié comme s'il était légitime.", peut-on lire sur le site de Microsoft.

Le nouveau correctif va permettre à Exchange Server de détecter et signaler les e-mails avec un en-tête P2 FROM malveillant.

Les versions suivantes sont affectées :

  • Microsoft Exchange Server 2019 Cumulative Update 14
  • Microsoft Exchange Server 2019 Cumulative Update 13
  • Microsoft Exchange Server 2016 Cumulative Update 23

Pour en savoir plus sur la nouvelle mise à jour Exchange, non limitée à la correction de cette vulnérabilité, vous pouvez consulter cette page.

CVE-2024-49019 - Active Directory Certificate Services - Élévation de privilèges

Microsoft a corrigé une faille de sécurité dans le rôle AD CS de Windows Server. Pour rappel, il permet de créer des autorités de certification sur Windows Server. Cette vulnérabilité, déjà divulguée, mais non exploitée à ce jour, permet à des attaquants d'obtenir des privilèges d'administrateur du domaine en abusant des modèles de certificats de version 1 intégrés par défaut.

"Vérifiez si vous avez publié des certificats créés à l'aide d'un modèle de certificat version 1 dans lequel la source du nom de l'objet est définie sur "Fourni dans la demande" et les autorisations d'inscription sont accordées à un ensemble plus large de comptes, tels que les utilisateurs du domaine ou les ordinateurs du domaine.", précise Microsoft.

Votre AD CS est potentiellement vulnérable si les permissions accordées sur les modèles ne sont pas suffisamment restrictives. Un rapport publié par les chercheurs de chez TrustedSec, à l'origine de cette découverte, évoque : "En utilisant les modèles de certificats intégrés par défaut de la version 1, un pirate peut créer un CSR pour inclure des politiques d'application qui sont préférées aux attributs Extended Key Usage spécifiés dans le modèle. La seule exigence est celle des droits d'inscription, et elle peut être utilisée pour générer une authentification client"

Cette faille de sécurité affecte Windows Server 2008 à Windows Server 2025.

Les mises à jour Windows 10 et Windows 11 de Novembre 2024

Pour en savoir plus sur les mises à jour Windows 10 et Windows 11 de Novembre 2024, consultez nos articles dédiés :

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.