Microsoft Patch Tuesday Juillet 2024

Satnam Narang, Senior Staff Research Engineer chez Tenable partage son expertise sur la mise à jour du Patch Tuesday de Microsoft de ce mois-ci.

Une faille d’élévation de privilèges dans Windows Hyper-V

CVE-2024-38080 est une faille d’élévation de privilèges dans Windows Hyper-V. Un attaquant local authentifié peut l’exploiter pour élever ses privilèges au niveau SYSTEM après une compromission initiale d’un système ciblé. Cette faille a été exploitée in the wild, bien que nous ne connaissions pas les détails de cette exploitation.

Cependant, comme pour la plupart des failles d’élévation de privilèges, les vulnérabilités de ce type qui apparaissent dans les versions du Patch Tuesday en tant que zero days sont liées à un certain type d’attaque ciblée, généralement menée par un groupe de menace persistante avancée (APT). Depuis 2022, il y a eu 44 vulnérabilités dans Windows Hyper-V, bien que celle-ci soit la première à avoir été exploitée dans la nature à notre connaissance.

Une vulnérabilité de type spoofing dans la plateforme Windows MSHTML

CVE-2024-38112 est une vulnérabilité de type spoofing dans la plateforme Windows MSHTML qui pourrait être exploitée par un attaquant distant non authentifié s’il convainc une cible potentielle d’ouvrir un fichier malveillant. Cependant, Microsoft note que la complexité de cette vulnérabilité est élevée, ce qui signifie qu’un attaquant devrait prendre des mesures supplémentaires au préalable pour créer les conditions idéales d’une exploitation réussie.

Malgré cette exigence, cette faille aurait été exploitée dans la nature, bien qu’aucun détail n’ait été disponible au moment de la publication du Patch Tuesday.

Une faille d’exécution de code à distance de Microsoft Office

Une faille d’exécution de code à distance de Microsoft Office (CVE-2024-38021) s’est également démarquée. Cette vulnérabilité pourrait être exploitée par des attaquants pour divulguer des informations d’identification NTLM (New Technology LAN Manager). L’une des campagnes d’attaque les plus réussies de 2023 a utilisé CVE-2023-23397, un bug d’élévation de privilèges dans Microsoft Outlook qui pourrait également entraîner la fuite des hachages NTLM.

Cependant, CVE-2024-38021 est limité par le fait que le volet de prévisualisation n’est pas un vecteur d’attaque, ce qui signifie que l’exploitation ne se produirait pas simplement en prévisualisant le fichier, alors que c’était le cas avec CVE-2023-23397.

En complément, Bernard Montel, Directeur Technique EMEA et Security Strategist , Tenable, souligne « à l’approche de Paris 2024, la menace de cyberattaques visant à perturber les Jeux s’accroît. C’est pourquoi la mise à jour régulière de Microsoft de ce mois-ci, qui contient des correctifs pour deux vulnérabilités de type zero-day, qui ont été exploitées dans la nature, est particulièrement inquiétante. Les équipes de sécurité doivent rester vigilantes, en particulier celles chargées de sécuriser les organismes directement impliquées dans l’organisation des Jeux ou ceux qui y sont associés par le biais d’un parrainage.

Bien que les informations fournies par Microsoft sur la faille d’élévation de privilèges dans Windows Hyper-V (CVE-2024-38080) soient limitées, les expériences passées suggèrent qu’elle est liée à un type d’attaque ciblée typiquement menée par un groupe de menace persistante avancée (APT). Même si les systèmes ont été gelés pour éviter les périodes d’inaccessibilité ou de perturbation, laisser une faille non corrigée alors qu’il existe des preuves que des acteurs malveillants cherchent à l’utiliser n’est pas un risque que je serais prêt à prendre ».

Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr

Microsoft Patch Tuesday Avril 2024

Microsoft Patch Tuesday Mars 2024

Microsoft Patch Tuesday Février 2024

Microsoft Patch Tuesday Mai 2024

Microsoft Patch Tuesday Juin 2024