News
Patch Tuesday de Microsoft : le commentaire de Tenable
juillet 2024 par Satnam Narang, Senior Staff Research Engineer chez Tenable
Suite à la publication du dernier Patch Tuesday de Microsoft hier, le commentaire de Satnam Narang, Senior Staff Research Engineer chez Tenable, à ce sujet :
“Ce mois-ci, Microsoft a corrigé deux vulnérabilités de type zero day qui ont été exploitées in the wild.
CVE-2024-38080 est une faille d’élévation de privilèges dans Windows Hyper-V. Un attaquant local authentifié peut l’exploiter pour élever ses privilèges au niveau SYSTEM après une compromission initiale d’un système ciblé. Cette faille a été exploitée in the wild, bien que nous ne connaissions pas les détails de cette exploitation. Cependant, comme pour la plupart des failles d’élévation de privilèges, les vulnérabilités de ce type qui apparaissent dans les versions du Patch Tuesday en tant que zero days sont liées à un certain type d’attaque ciblée, généralement menée par un groupe de menace persistante avancée (APT). Depuis 2022, il y a eu 44 vulnérabilités dans Windows Hyper-V, bien que celle-ci soit la première à avoir été exploitée dans la nature à notre connaissance.
CVE-2024-38112 est une vulnérabilité de type spoofing dans la plateforme Windows MSHTML qui pourrait être exploitée par un attaquant distant non authentifié s’il convainc une cible potentielle d’ouvrir un fichier malveillant. Cependant, Microsoft note que la complexité de cette vulnérabilité est élevée, ce qui signifie qu’un attaquant devrait prendre des mesures supplémentaires au préalable pour créer les conditions idéales d’une exploitation réussie. Malgré cette exigence, cette faille aurait été exploitée dans la nature, bien qu’aucun détail n’ait été disponible au moment de la publication du Patch Tuesday.
Une faille d’exécution de code à distance de Microsoft Office (CVE-2024-38021) s’est également démarquée. Cette vulnérabilité pourrait être exploitée par des attaquants pour divulguer des informations d’identification NTLM (New Technology LAN Manager). L’une des campagnes d’attaque les plus réussies de 2023 a utilisé CVE-2023-23397, un bug d’élévation de privilèges dans Microsoft Outlook qui pourrait également entraîner la fuite des hachages NTLM. Cependant, CVE-2024-38021 est limité par le fait que le volet de prévisualisation n’est pas un vecteur d’attaque, ce qui signifie que l’exploitation ne se produirait pas simplement en prévisualisant le fichier, alors que c’était le cas avec CVE-2023-23397".
