Ce mardi 14 mai 2024, Microsoft a publié son nouveau Patch Tuesday ! Ce mois-ci, l'entreprise américaine a corrigé 61 vulnérabilités et 3 failles de sécurité zero-day dans ses produits et services. Faisons le point !

Une faille de sécurité critique dans SharePoint Server

Le Patch Tuesday de Mai 2024 de Microsoft corrige une seule faille de sécurité critique. Il s'agit de la vulnérabilité associée à la référence CVE-2024-30044 présente dans SharePoint Server et qui permet à un attaquant d'effectuer une exécution de code à distance sur le serveur.

"Un attaquant authentifié disposant de l'autorisation Site Owner peut utiliser cette vulnérabilité pour injecter du code arbitraire et exécuter ce code dans le contexte de SharePoint Server.", précise Microsoft. Ces précisions sont importantes, car elles indiquent que l'attaquant doit être authentifié et disposer d'un certain niveau de privilèges pour exploiter la vulnérabilité.

Trois failles de sécurité zero-day corrigées par Microsoft

Évoquons les trois failles de sécurité zero-day patchées par Microsoft. Deux d'entre elles sont déjà activement exploitées, tandis que la troisième est déjà connue publiquement, sans être associée à des campagnes malveillantes.

CVE-2024-30040 - Windows MSHTML - Bypass des fonctions de sécurité

La vulnérabilité CVE-2024-30040, déjà exploitée dans le cadre de cyberattaques, permet d'outrepasser les mesures d'atténuation OLE dans Microsoft 365 et Microsoft Office qui protègent les utilisateurs des contrôles COM/OLE vulnérables.

En exploitant cette faille de sécurité, un attaquant distant non authentifié pourrait exécuter du code sur la machine vulnérable s'il parvient à convaincre l'utilisateur d'ouvrir un fichier malveillant.

Voici les précisions apportées par la firme de Redmond : "Un attaquant doit convaincre l'utilisateur de charger un fichier malveillant sur un système vulnérable, généralement par le biais d'un message électronique ou de messagerie instantanée, puis convaincre l'utilisateur de manipuler le fichier spécialement conçu, mais pas nécessairement de cliquer sur le fichier malveillant ou de l'ouvrir." - Ceci me semble un peu flou, mais cela pourrait signifier qu'une simple prévisualisation pourrait suffire.

Toutes les versions de Windows et Windows Server à partir de Windows 10 et Windows Server 2016 sont vulnérables.

CVE-2024-30051 - Bibliothèque Windows DWM - Élévation de privilèges

Également exploitée dans le cadre d'attaques, la faille de sécurité CVE-2024-30051 permet à un attaquant d'élever ses privilèges en tant que "SYSTEM" sur la machine Windows ciblée. "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.", peut-on lire sur le site de Microsoft.

Une note publiée par Kaspersky met en avant l'exploitation de cette vulnérabilité dans le cadre de campagnes de phishing visant à infecter les machines avec le malware Qakbot. Kaspersky précise que d'autres groupes de cybercriminels exploitent cette faille de sécurité : "Nous l'avons vu utilisé avec QakBot et d'autres logiciels malveillants, et nous pensons que plusieurs acteurs de la menace y ont accès."

Toutes les versions de Windows et Windows Server à partir de Windows 10 et Windows Server 2016 sont vulnérables.

CVE-2024-30046 - Visual Studio - Déni de service

Microsoft affirme que la faille de sécurité CVE-2024-30046 est déjà connue publiquement, mais qu'elle n'est pas exploitée à ce jour. C'est probablement parce que cette vulnérabilité présente dans Visual Studio est difficile à exploiter.

Elle affecte Microsoft Visual Studio 2022 de la version 17.4 à la version 17.9.

Des articles pour présenter les nouvelles mises à jour Windows 10 et Windows 11 seront publiés dans la journée.

Source

The post Patch Tuesday – Mai 2024 : 61 vulnérabilités corrigées, ainsi que 3 failles zero-day ! first appeared on IT-Connect.

Le mardi 9 avril 2024, Microsoft a dévoilé son nouveau Patch Tuesday qui va permettre de corriger 150 failles de sécurité, ainsi que 2 zero-day ! Faisons le point sur ce "très gros Patch Tuesday" d'avril 2024 !

Même si ce Patch Tuesday corrige 150 vulnérabilités dans les différents produits de Microsoft, il n'y a que 3 failles de sécurité critiques alors que 67 d'entres elles permettent une exécution de code à distance (RCE). Les trois failles de sécurité critiques ont été corrigées dans Microsoft Defender for IoT : CVE-2024-29053, CVE-2024-21323 et CVE-2024-21322.

Bien d'autres produits et services de chez Microsoft sont concernés par ce nouveau Patch Tuesday, notamment Azure (Azure Arc, Azure Migrate, Azure Monitor, Azure SDK, etc.), Microsoft Office (Outlook, Excel, SharePoint), le rôle "Serveur DNS" (7 vulnérabilités), le rôle "Hyper-V", SQL Server, le rôle "Serveur DHCP" (4 vulnérabilités) et Windows (BitLocker, Windows Defender Credentials Guard, Kerberos, le composant LSASS, le Secure Boot ou encore le noyau de Windows). De plus, Microsoft a corrigé 5 failles de sécurité dans son navigateur Edge.

Deux failles de sécurité zero-day

Microsoft a corrigé deux failles de sécurité zero-day et il s'avère qu'elles sont activement exploitées dans des attaques de logiciels malveillants. Pour en savoir plus sur cette vulnérabilité, vous pouvez lire cet article où nous apportons des détails supplémentaires :

• Avril 2024 - Deux zero-day corrigées dans Windows (CVE-2024-26234 et CVE-2024-29988)

CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)

La faille de sécurité CVE-2024-26234 a été remontée à Microsoft par Christopher Budd de chez Sophos. D'ailleurs, Sophos a indiqué que cette vulnérabilité était associée à un pilote malveillant étant signé avec un certificat "Microsoft Hardware Publisher" valide, ce qui lui permet d'être approuvé par le système d'exploitation Windows.

Ce pilote malveillant et signé a été utilisé dans le cadre de cyberattaques pour déployer une porte dérobée (backdoor) sur les machines compromises. Sans surprise, compte tenu de l'origine de ce problème de sécurité, toutes les versions de Windows et Windows Server sont affectées (à partir de Windows Server 2008), y compris les plus récentes.

CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)

Microsoft semble avoir des difficultés à corriger une faiblesse de longue date dans la fonction de sécurité SmartScreen de Windows. En effet, Microsoft a déjà publié plusieurs correctifs, mais à chaque fois, le patch parvient à être contourné. Ainsi, la faille de sécurité CVE-2024-29988 permet de bypasser le correctif CVE-2024-21412, qui lui-même permettait de bypasser le correctif CVE-2023-36025. Ceci permet d'ouvrir des fichiers malveillants sur la machine sans déclencher le filtre SmartScreen, c'est-à-dire qu'il n'y a pas de fenêtre d'avertissement pour demander à l'utilisateur de confirmer l'ouverture du fichier.

Le groupe de pirates Water Hydra a fait usage de cette vulnérabilité dans SmartScreen dans le cadre de cyberattaques ayant pour objectif d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT).

Versions affectées : Windows 10 Version 1809 et versions supérieures et Windows Server 2019 et versions supérieures.

Les mises à jour pour Windows 10 et Windows 11

Pour en savoir plus sur les nouvelles mises à jour pour Windows 10 et Windows 11, retrouvez nos deux articles :

• Mise à jour Windows 10 d'avril 2024
• Mise à jour Windows 11 d'avril 2024

Source

The post Patch Tuesday – Avril 2024 : 150 vulnérabilités corrigées, ainsi que 2 failles zero-day ! first appeared on IT-Connect.

Le mardi 12 mars, Microsoft a publié son troisième Patch Tuesday de l'année 2024 ! Cette fois-ci, les équipes de Microsoft ont corrigé 60 failles de sécurité, et il n'y a pas la moindre zero-day. Faisons le point !

À l'occasion du Patch Tuesday de Mars 2024, Microsoft a corrigé 2 failles de sécurité critiques et elles sont toutes les deux présentes dans Hyper-V : CVE-2024-21407 et CVE-2024-21408. La première permet une exécution de code à distance sur l'hyperviseur (et serait difficile à exploiter), tandis que la seconde permet un déni de service. Au total, 18 vulnérabilités permettent une exécution de code à distance.

La grande majorité des autres vulnérabilités sont considérées comme importantes et elles affectent différents produits et services de chez Microsoft. Notamment : Exchange Server, SharePoint, l'agent Intune pour Linux, Microsoft WDAC OLE DB provider for SQL, le client Skype, Visual Studio Code, Windows Installer, l'implémentation de Kerberos dans Windows, le driver ODBC, le driver d'impression USB, ou encore plusieurs failles de sécurité dans le noyau Windows. À noter également la correction de 4 vulnérabilités dans le navigateur Edge, ainsi qu'une faille de sécurité dans l'application Microsoft Authenticator.

Aucune zero-day

Ce mois-ci, Microsoft n'a pas corrigé la moindre faille de sécurité zero-day. Néanmoins, ceci ne signifie pas que les vulnérabilités corrigées par Microsoft ne représentent pas un risque, ou qu'elles ne seront pas exploitées par les attaquants dans les prochaines semaines.

Voici quelques vulnérabilités à surveiller :

• CVE-2024-26199 - Élévation de privilèges dans Microsoft Office, ce qui permet à l'attaquant d'obtenir les droits SYSTEM sur la machine locale.
• CVE-2024-20671 - Contournement de la sécurité de Microsoft Defender, car cette vulnérabilité peut empêcher la solution de sécurité de démarrer, ce qui la rend inopérante. Toutefois, une mise à jour automatique de Windows Defender Antimalware Platform permet de corriger cette faille de sécurité.
• CVE-2024-21411 - Exécution de code malveillant au travers de l'application Skype for Consumer, à partir d'un lien ou d'une image malveillante.

D'autres articles sur les nouvelles mises à jour pour Windows 10 et Windows 11 seront publiés dans la journée.

Source

The post Patch Tuesday – Mars 2024 : 60 vulnérabilités corrigées ! first appeared on IT-Connect.