"Sur les 60 CVE corrigées dans la version Patch Tuesday de ce mois-ci, seules six sont considérées comme plus susceptibles d’être exploitées selon l’indice d’exploitabilité de Microsoft. Il s’agit principalement de vulnérabilités d’élévation de privilèges, notamment CVE-2024-26182 (Windows Kernel), CVE-2024-26170 (Windows Composite Image File System (CimFS)), CVE-2024-21437 (Windows Graphics Component) et CVE-2024-21433 (Windows Print Spooler), que nous voyons souvent exploitées dans la nature en tant que zero-day dans le cadre d’une activité de post-exploitation, généralement par des groupes de menaces persistantes avancées (APT). Les groupes APT sont plus susceptibles d’exploiter des failles d’élévation de privilèges de type "zero day" que d’autres types de cybercriminels, tels que les groupes de ransomware et leurs affiliés, car l’objectif d’un groupe APT est généralement lié à l’espionnage. Les groupes APT préfèrent rester sous le radar autant que possible, tandis qu’un affilié de ransomware se concentre davantage sur une approche de type "smash and grab", car son objectif est le gain financier.
Si un certain nombre de vulnérabilités recensées ce mois-ci sont considérées comme moins susceptibles d’être exploitées, elles ne sont pas pour autant improbables. Par exemple, de nombreuses vulnérabilités corrigées ce mois-ci nécessitent une ingénierie sociale pour être exploitées. Qu’il s’agisse de CVE-2024-21426, un bogue d’exécution de code à distance dans Microsoft SharePoint Server, ou de CVE-2024-21443, une faille d’élévation de privilèges dans le noyau Windows. Cela ajoute une certaine complexité pour un attaquant, mais s’il est capable d’utiliser l’ingénierie sociale pour convaincre une cible potentielle d’ouvrir un fichier, il sera en mesure de tirer parti de ces failles.
Une vulnérabilité intéressante dans la version Patch Tuesday de ce mois est la CVE-2024-21390, une faille d’élévation de privilèges dans Microsoft Authenticator. Pour qu’un attaquant puisse exploiter cette faille, il faut qu’il soit déjà présent sur l’appareil par le biais d’un logiciel malveillant ou d’une application malveillante. Si une victime a fermé et rouvert l’application Microsoft Authenticator, un attaquant pourrait obtenir des codes d’authentification multi-facteurs et modifier ou supprimer des comptes à partir de l’application. Bien que l’exploitation de cette faille soit considérée comme peu probable, nous savons que les attaquants sont désireux de trouver des moyens de contourner l’authentification multifactorielle. S’ils ont accès à un appareil cible, ils peuvent surveiller les frappes, voler des données et rediriger les utilisateurs vers des sites de phishing, mais si leur objectif est de rester furtifs, ils peuvent conserver cet accès et voler les codes d’authentification à plusieurs facteurs afin de se connecter à des comptes sensibles, de voler des données ou de détourner complètement les comptes en changeant les mots de passe et en remplaçant le dispositif d’authentification à plusieurs facteurs, ce qui verrouille effectivement l’utilisateur de ses comptes."