Pour le Patch Tuesday de mai 2024, Microsoft a publié des correctifs pour 59 vulnérabilités numérotées CVE, dont deux zero-day (CVE-2024-30051, CVE-2024-30040) activement exploitées par les attaquants.
CVE-2024-30051 et CVE-2024-30040
CVE-2024-30051 est une vulnérabilité de débordement de tampon basée sur le tas affectant la bibliothèque principale Windows DWM qui peut être exploitée pour élever les privilèges des attaquants sur un système cible. “Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM”, explique Microsoft.
Des chercheurs de Kaspersky, DBAPPSecurity WeBin Lab, Google Threat Analysis Group et Google Mandiant ont été reconnus pour l’avoir signalé, il a donc été supposé que les attaques qui l’exploitent sont généralisées.
Les chercheurs de Kaspersky, Boris Larin et Mert Degirmenci, ont partagé plus de détails : CVE-2024-30051 est exploité en conjonction avec Qakbot et d’autres logiciels malveillants. “[We] Je pense que plusieurs acteurs malveillants y ont accès », ont-ils déclaré, et ont promis de publier les détails techniques une fois que les utilisateurs auront eu le temps de mettre à jour leurs systèmes Windows.
Ce qui est intéressant ici, c’est comment ils ont « découvert » la vulnérabilité : elle a été décrite dans un fichier téléchargé sur VirusTotal.
“Le processus d’exploitation décrit dans ce document était identique à celui utilisé dans l’exploit zero-day mentionné précédemment pour CVE-2023-36033, mais la vulnérabilité était différente”, ont-ils déclaré.
CVE-2024-30040 est une vulnérabilité qui permet aux attaquants de contourner OLE [Object Linking and Embedding] atténuations dans Microsoft 365 et Microsoft Office (c’est-à-dire des fonctionnalités de sécurité qui protègent les utilisateurs contre les fichiers malveillants).
Pour l’exploiter, les attaquants doivent « convaincre l’utilisateur de charger un fichier malveillant sur un système vulnérable, généralement au moyen d’une incitation dans un e-mail ou un message de messagerie instantanée, puis convaincre l’utilisateur de manipuler le fichier spécialement conçu, mais pas nécessairement ». cliquez ou ouvrez le fichier malveillant », explique Microsoft.
“Un attaquant non authentifié qui parviendrait à exploiter cette vulnérabilité pourrait obtenir l’exécution de code en convainquant un utilisateur d’ouvrir un document malveillant, auquel cas l’attaquant pourrait exécuter du code arbitraire dans le contexte de l’utilisateur.”
Microsoft ne précise pas qui a signalé la vulnérabilité ni n’explique la nature des attaques pour lesquelles elle est exploitée.
Autres vulnérabilités à noter
Satnam Narang, ingénieur de recherche senior chez Tenable, affirme que l’exploitation de CVE-2024-30044la seule vulnérabilité critique corrigée ce mois-ci, nécessite qu’un attaquant soit d’abord authentifié sur un serveur SharePoint vulnérable avec des autorisations de propriétaire de site (ou supérieures), puis prenne des mesures supplémentaires, « ce qui rend cette faille moins susceptible d’être largement exploitée comme le font la plupart des attaquants. le chemin de la moindre résistance.
Le découvreur – Piotr Bazydło – dit c’est la faille d’injection d’entité externe XML (XXE) la plus intéressante qu’il ait jamais trouvée.
« Un attaquant authentifié pourrait utiliser ce bug pour lire des fichiers locaux avec les privilèges utilisateur du compte de service SharePoint Farm. Ils pourraient également effectuer une falsification de requête côté serveur (SSRF) basée sur HTTP et, plus important encore, effectuer un relais NLTM en tant que compte de service SharePoint Farm », a commenté Dustin Childs, responsable de la sensibilisation aux menaces chez Zero Day Initiative de Trend Micro.
Il a également pointé du doigt CVE-2024-30050une vulnérabilité modérément grave qui peut permettre aux attaquants de contourner les protections fournies par les contrôles Windows Mark of the Web (MotW), car ce type de contournement des fonctionnalités de sécurité est actuellement très en vogue auprès des gangs de ransomwares.
“Ils compressent leur charge utile pour contourner les défenses du réseau et de l’hôte, ils utilisent un contournement de Mark of the Web (MotW) pour échapper à SmartScreen ou à la vue protégée dans Microsoft Office”, a-t-il expliqué.
« Bien que nous n’ayons aucune indication que ce bug soit activement utilisé, nous constatons que la technique est utilisée assez souvent pour le signaler. Des bugs comme celui-ci montrent pourquoi les bugs modérés ne devraient pas être ignorés ou dépriorisés.