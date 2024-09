Patch Tuesday de Microsoft : le commentaire de Tenable

septembre 2024 par Satnam Narang, Senior Staff Research Engineer chez Tenable

“CVE-2024-38226 est une faille dans Microsoft Publisher, une application autonome incluse dans certaines versions de Microsoft Office. CVE-2024-38217 est une vulnérabilité dans Mark-of-the-Web, une importante fonction de sécurité de Microsoft Windows qui signale ou bloque le contenu des fichiers téléchargés depuis internet.

L’exploitation de ces deux vulnérabilités peut conduire au contournement d’importantes fonctions de sécurité bloquant l’exécution des macros de Microsoft Office. Dans les deux cas, la cible doit être convaincue d’ouvrir un fichier spécialement conçu à partir d’un serveur contrôlé par l’attaquant. La différence est qu’un attaquant doit être authentifié sur le système et disposer d’un accès local pour exploiter CVE-2024-38226.

CVE-2024-38217 est la deuxième vulnérabilité de type zero day de Mark-of-the-Web qui a été exploitée dans la nature : en août, Microsoft a publié un avis concernant la vulnérabilité CVE-2024-38213, corrigée dans le Patch Tuesday de juin mais « omise par inadvertance » dans cette version. Également connue sous le nom de « Copy2Pwn », elle était liée à la campagne DarkGate, qui comprenait l’utilisation d’une autre vulnérabilité zero day, CVE-2024-21412. Water Hydra, le groupe APT à l’origine de cette campagne, semble avoir un penchant pour la découverte et l’exploitation de ce type de vulnérabilités, même s’il n’est pas certain que CVE-2024-38217 leur soit attribuable.

Microsoft a également corrigé CVE-2024-38014, une faille d’élévation de privilèges de Windows Installer exploitée dans la nature en tant que zero day. Ce type de vulnérabilités étant lié à des activités postérieures à la compromission, il ne reçoit pas autant d’attention que les bugs d’exécution de code à distance, mais est précieux pour les attaquants car permet d’infliger plus de dégâts ou de compromettre plus de données. Les organisations doivent corriger ces failles pour couper les voies d’attaque et empêcher toute compromission future.

Microsoft a également corrigé la vulnérabilité CVE-2024-43491 dans son Servicing Stack, qui a conduit à l’annulation des correctifs pour des versions spécifiques de Windows 10 affectant certains composants optionnels. Elle a été étiquetée « Exploitation Detected », ce qui implique qu’elle a été exploitée dans la nature. Cependant, elle semble l’avoir été car le retour en arrière des correctifs a réintroduit des vulnérabilités dans les composants optionnels qui étaient auparavant connus pour être exploités. Les utilisateurs doivent donc appliquer à la fois la mise à jour Servicing Stack et les mises à jour de sécurité de Windows de ce mois-ci.”