Vulnérabilités Zero Day

Microsoft résout une vulnérabilité d’élévation de privilèges (EP) dans le Planificateur de tâches Windows (CVE-2024-49039). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 8,8. Son exploitation a été confirmée. Pour exploiter cette vulnérabilité, le pirate doit exécuter une application spécialement conçue à cet effet sur le système cible. Cela lui permet d’élever ses privilèges jusqu’au niveau d’intégrité Moyen. Cette vulnérabilité concerne Windows 10 et les éditions plus récentes de l’OS, notamment Windows 11 24H2 et Server 2025. Pour la priorisation basée sur les risques, cette vulnérabilité doit être considérée comme étant de type Critique.

Microsoft résout une vulnérabilité d’usurpation d’identité (Spoofing) dans NTLM (CVE-2024-43451). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 6,5. L’exploitation de cette vulnérabilité sur le terrain a été confirmée et elle a été divulguée publiquement. Si on l’exploite, cette vulnérabilité dévoile l’identité NTLMv2 de l’utilisateur au pirate, qui peut l’exploiter pour s’authentifier sous le nom de cet utilisateur. L’attaque ne nécessite qu’une interaction minimale avec un fichier malveillant, comme la sélection (simple clic), l’inspection (clic avec le bouton droit) ou l’exécution d’actions sur ce fichier. Cette vulnérabilité concerne Server 2008 et les éditions plus récentes de l’OS Windows, notamment Windows 11 24H2 et Server 2025. Pour la priorisation basée sur les risques, cette vulnérabilité doit être considérée comme étant de type Critique.

Divulgations publiques, vulnérabilités tierces et conseils (Advisory) de sécurité

Microsoft résout une vulnérabilité d’élévation de privilèges (EP) dans les services de certificat Active Directory (CVE-2024-49019). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Cette vulnérabilité a fait l’objet d’une divulgation publique. En l’exploitant, un pirate peut obtenir des privilèges Administrateur de domaine. Il existe des mesures d’atténuation supplémentaires pour cette vulnérabilité, comme la suppression des permissions d’inscription ou d’autoinscription trop larges, la suppression des modèles inutilisés des autorités de certification (CA) et la sécurisation des modèles qui vous permettent de spécifier l’objet dans la demande. Cette vulnérabilité affecte Windows Server 2008 et les éditions d’OS Server plus récentes. Pour la priorisation basée sur les risques, la divulgation publique augmente les risques d’exploitation de cette vulnérabilité et justifie qu’on la traite comme ayant une gravité plus élevée.

Microsoft résout une vulnérabilité d’usurpation d’identité (Spoofing) dans Microsoft Exchange Server (CVE-2024-49040). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,5. Cette vulnérabilité a été divulguée publiquement et le niveau de maturité de son code d’exploitation est PoC (Proof-of-Concept - Validation de principe), ce qui rend son exploitation bien plus facile pour les pirates. Cette vulnérabilité figure dans la vérification d’en-tête P2 From. Depuis la mise à jour de sécurité Exchange Server de novembre 2024, Exchange Server est capable de détecter et de signaler les e-mails contenant des schémas potentiellement malveillants dans l’en-tête P2 From. Par défaut, un message est ajouté à la fin de l’e-mail pour vous avertir du comportement suspect. Vous pouvez configurer des règles supplémentaires de flux d’e-mails pour rejeter automatiquement les messages montrant un comportement suspect. Microsoft Exchange Server est souvent visé par des pirates qui se spécialisent dans l’exploitation d’Exchange. Pour la priorisation basée sur les risques, la divulgation publique et le code d’exploitation de niveau PoC font que cette vulnérabilité doit être considérée comme de niveau Critique.

Microsoft résout une vulnérabilité de bibliothèque OpenSSL dans Microsoft Defender (CVE-2024-5535). Microsoft classe cette vulnérabilité au niveau Important et son score CVSS v3.1 est de 9,1. Cette vulnérabilité concerne Microsoft Defender Endpoint pour iOS et Android, Azure Linux 3.0 et CVL Mariner. Pour l’exploiter, le pirate doit envoyer à sa victime un lien malveillant via un e-mail ou convaincre l’utilisateur de cliquer sur un lien. Le pirate peut aussi envoyer à l’utilisateur un e-mail spécialement conçu, sans même que ce dernier n’ait à l’ouvrir, le lire ou cliquer sur le lien.

Microsoft publie une mise à jour de protection renforcée (Defense in Depth) pour Sharepoint Server (ADV240001). Cette mise à jour ne porte aucun niveau de gravité et n’est associée à aucune CVE. Elle vous informe seulement de la disponibilité des mises à jour Defense in Depth pour Sharepoint Server.

Mises à jour tierces

Adobe publie 8 mises à jour ce mois-ci. Elles sont toutes classées Priorité 3 par Adobe. Conseils d’Adobe concernant les mises à jour Priorité 3 : Cette mise à jour résout des vulnérabilités dans un produit qui n’a jamais été une cible pour les pirates dans le passé. Adobe recommande aux administrateurs d’installer cette mise à jour, à leur seule discrétion.

Google Chrome publie une mise à jour pour le Patch Tuesday de novembre, dont les notes de publication n’incluent pas de CVE.

Priorités de mise à jour pour novembre :

Les mises à jour de l’OS Microsoft Windows doivent être votre principale priorité ce mois-ci, car elles résolvent des mises à jour connues et exploitées.
Pour les entreprises qui exécutent Microsoft Exchange Server, ce dernier doit faire partie des priorités. La divulgation publique avec PoC rend très probable l’exploitation de cette vulnérabilité.