Délai Microsoft Windows : 10 jours pour mettre à jour ou arrêter d’utiliser votre PC

On y va encore une fois. Ce qui était décrit comme une menace « jusqu’alors inconnue » il y a à peine trois mois a suscité un troisième avertissement du gouvernement américain l’incitant à mettre à jour ou à cesser d’utiliser les PC. En exploitant l’ancien code enfoui sous les couvertures des systèmes Windows actuels, il est vite devenu clair que « Un pourcentage important d’appareils Windows sont entièrement exposés et risquent d’être pris en charge par des attaquants. »

La dernière vulnérabilité est CVE-2024-43573, qui la cyberagence américaine prévient qu’il s’agit « d’une vulnérabilité d’usurpation d’identité non spécifiée qui peut entraîner une perte de confidentialité ». Il a demandé à tous les employés fédéraux « d’appliquer les mesures d’atténuation conformément aux instructions du fournisseur ou de cesser d’utiliser le produit si les mesures d’atténuation ne sont pas disponibles » d’ici le 29 octobre. En d’autres termes, mettez à jour votre PC dans les dix prochains jours ou arrêtez de l’utiliser jusqu’à ce que vous le puissiez.

ForbesNouvel avertissement du Google Play Store : les applications seront désactivées dans les 10 prochaines semainesPar Zak Doffman

Comme toujours, même si le mandat de la CISA s’applique uniquement au personnel fédéral, il est destiné « au bénéfice de la communauté de la cybersécurité et des défenseurs des réseaux, et à aider chaque organisation à mieux gérer les vulnérabilités et à suivre le rythme des activités de menace ». Étant donné qu’il s’agit de la troisième exploitation de ce type de vulnérabilité en quelques semaines et que les correctifs initiaux n’ont clairement pas suffi, tous ont intérêt à mettre à jour immédiatement. « N’ignorez pas cela » Trend Micro met en garde. « Testez et déployez cette mise à jour rapidement. »

En termes de timing, la tournure intéressante de cet avertissement d’octobre est que 900 millions d’utilisateurs de Windows 10 n’ont pas encore migré vers Windows 11, maintenant à seulement un an de la fin de vie, ce qui signifie la fin du support, ce qui coupera ces utilisateurs des mises à jour telles que comme ça. Pire encore, on compte également 50 millions d’utilisateurs Windows utilisant des versions héritées encore plus anciennes du système d’exploitation, ce qui signifie que leurs machines sont largement ouvertes à ces menaces.

La menace « jusqu’alors inconnue » qui est à l’origine de son troisième avertissement de mise à jour d’urgence concerne MSHTML, qui, comme Point de contrôle explique : il s’agit d’un « fichier de raccourci Internet Windows spécial qui, lorsqu’on clique dessus, appelle l’ancien Internet Explorer (IE) pour visiter l’URL contrôlée par l’attaquant… En ouvrant l’URL avec IE au lieu du navigateur Chrome/Edge moderne et beaucoup plus sécurisé. sous Windows, l’attaquant a obtenu des avantages significatifs en exploitant l’ordinateur de la victime, bien que l’ordinateur exécute le système d’exploitation moderne Windows 10/11.

La première de ces vulnérabilités, CVE-2024-38112a été divulgué en juillet et lié à des attaques d’infostealer qui Tendance Micro attribué au groupe APT Void Banshee. Puis, en septembre, CISA a ajouté CVE-2024-43461 à son catalogue de vulnérabilités exploitées connues (KEV), avertissant qu’elle avait été exploitée « en conjonction avec CVE-2024-38112 ».

ForbesGoogle révèle une nouvelle mise à jour de Chrome : Microsoft avertit les utilisateurs de Windows de modifier leur navigateurPar Zak Doffman

Divulguant la deuxième de ces vulnérabilités MSHTML, Tendance Micro a expliqué que « la faille spécifique existe dans la manière dont Internet Explorer invite l’utilisateur après le téléchargement d’un fichier. Un nom de fichier contrefait peut masquer la véritable extension du fichier, induisant ainsi l’utilisateur en erreur en lui faisant croire que le type de fichier est inoffensif. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte de l’utilisateur actuel.

Quant à CVE-2024-43573, la troisième vulnérabilité MSHTML en autant de mois et en fait la quatrième cette année, avec CVE-2024-30040 divulgué en mai, Trend Micro dit qu’il « est également très similaire au bug corrigé en juillet… Microsoft ne dit pas s’il s’agit du même groupe, mais étant donné qu’il n’y a aucune reconnaissance ici, cela nous fait penser que le correctif d’origine était insuffisant. .»

ForbesL’erreur de mise à jour de Google confirmée alors que des millions de propriétaires de pixels installent Android 15Par Zak Doffman

Compte tenu de ce risque, selon lequel les correctifs d’origine pour la menace MSHTML pourraient avoir été « insuffisants », tous les utilisateurs de Windows devraient mettre à jour maintenant, en s’assurant que les mises à jour du Patch Tuesday d’octobre sont appliquées. Il existe clairement de nombreuses menaces actives dans la nature exploitant cette menace « jusqu’alors inconnue », et cela ne fera qu’empirer.

Ce qui signifie également que si vous n’avez déjà plus de support ou si vous risquez de vous y retrouver en octobre 2025, avec la fin de vie de Windows 10, vous devriez considérer vos options.