Microsoft a corrigé 142 failles lors d’un Patch Tuesday de juillet chargé, dont deux vulnérabilités zero-day qui sont activement exploitées.
Les vulnérabilités Zero Day incluent CVE-2024-38080, une faille d’élévation de privilèges dans le logiciel de virtualisation Hyper-V de Microsoft qui affecte Windows 11 et Windows Server 2022. La vulnérabilité a reçu un score CVSS de 7,8 et a été jugée importante. L’avis de Microsoft concernant le CVE-2024-38080 indique qu’une exploitation a été détectée, bien que l’étendue de l’activité ne soit pas claire. L’avis indique également que la faille a été signalée à Microsoft par une personne anonyme.
Le deuxième bug zero-day corrigé était CVE-2024-38112, une vulnérabilité d’usurpation d’identité dans la plate-forme Windows MSHTML. La faille a reçu un score CVSS de 7,5 et a également été jugée importante. L’exploitation de la faille permet à un attaquant d’envoyer des fichiers malveillants via le réseau, bien que Microsoft ait noté dans l’avis que cela nécessite “des actions supplémentaires avant l’exploitation pour préparer l’environnement cible”.
“Les attaquants peuvent exploiter cette faille à distance s’ils se trouvent déjà quelque part sur votre réseau, ce qui n’est pas difficile à faire”, a déclaré Chris Goettl, vice-président de la gestion des produits de sécurité chez Ivanti, à TechTarget Editorial. “Cela affecte toutes les versions du système d’exploitation Windows, même depuis Windows Server 2008.”
Microsoft a crédité Haifei Li de Check Point Software Technologies pour la découverte et le signalement du CVE-2024-38112. Dans un message sur X, anciennement Twitter, Li a exprimé sa frustration à l’égard de Microsoft, affirmant que le géant du logiciel avait divulgué et corrigé la faille plus tôt que prévu et sans informer Check Point du changement de calendrier.
Vulnérabilités supplémentaires
Microsoft a également corrigé deux autres vulnérabilités qu’il a classées comme zéro jour parce que les failles ont été rendues publiques – bien qu’elles n’aient pas été exploitées à l’état sauvage – avant leur divulgation officielle dans le Patch Tuesday de ce mois-ci.
La première était CVE-2024-35264, une vulnérabilité d’exécution de code à distance affectant .NET version 8.0 et Visual Studio 2022. La faille RCE a reçu un score CVSS de 8,1 et a été jugée importante. L’avis de Microsoft indique que l’exploitation réussie de la faille nécessite que l’attaquant remporte une condition de concurrence. La société n’a pas précisé qui a rendu public le premier CVE-2024-35264 ni où il a été rendu public. Cependant, c’est Radek Zikmund, employé de Microsoft, qui a découvert la faille.
La deuxième vulnérabilité Zero Day révélée était CVE-2024-37985, une faille de divulgation d’informations dans les versions de Windows 11 pour les systèmes basés sur Arm64 ; il a reçu un score CVSS de 5,9 et a également été jugé important. Selon Microsoft, un attaquant pourrait exploiter cette vulnérabilité pour afficher la mémoire tas des processus privilégiés sur un serveur ciblé.
La complexité de l’attaque pour CVE-2024-37985 est considérée comme élevée et son exploitation est « moins probable », selon l’avis de Microsoft. Cependant, Goettl a déclaré que les organisations devraient donner la priorité à la vulnérabilité.
“Un processus privilégié est celui qui va contenir des informations beaucoup plus sensibles”, a déclaré Goettl. “Les chances d’exploitation sont plus faibles, mais comme cela a été divulgué, cela donne aux acteurs de la menace une meilleure idée de l’endroit où chercher cette information. [flaw]. Le risque est plus élevé que, disons, même certains défauts critiques qui ne sont pas divulgués. »
En plus des deux jours zéro liés à la divulgation, Microsoft a corrigé CVE-2024-38060, une faille RCE affectant le composant Windows Imaging, qui est un cadre de traitement des images. La vulnérabilité a reçu un score CVSS de 8,8 et a été jugée critique. Un attaquant pourrait exploiter cette faille en téléchargeant un fichier TIFF malveillant sur un serveur ciblé.
L’énorme Patch Tuesday comprenait 38 vulnérabilités RCE dans SQL Server uniquement. Goettl a déclaré que 142 vulnérabilités sont définitivement « élevées », mais les utilisateurs ne devraient pas s’alarmer.
“Lorsqu’un tel volume sort, vous souhaitez généralement atteindre les plus gros rapidement”, a-t-il déclaré. “Avec les mises à jour du système d’exploitation et de SQL Server ce mois-ci, vous supprimez deux énormes morceaux de ces 142.”
Rob Wright est journaliste de longue date et directeur principal de l’information pour l’équipe de sécurité de TechTarget Editorial. Il dirige la couverture des dernières nouvelles et tendances en matière de sécurité de l’information. Vous avez un conseil ? Envoyez-lui un e-mail.