Microsoft a publié un correctif pour une faille critique du jour zéro dans son gestionnaire de configuration Windows

La mise à jour de sécurité mensuelle Patch Tuesday de Microsoft a peut-être disparu, mais Exploit Wednesday pourrait persister pour les utilisateurs qui n’ont pas été assez rapides pour protéger leurs systèmes contre un ensemble de vulnérabilités Zero Day. Combien, est-ce que je vous entends demander ? Comment cinq vous attrapent-ils parmi un ensemble de 117 failles de sécurité corrigées au cours de ce mois-ci ? Ce n’est cependant pas un zero-day qui a retenu l’attention de plusieurs professionnels de la sécurité : CVE-2024-43468 porte un indice de gravité critique de 9,8/10 et est accompagné d’un avertissement de mise à jour maintenant ci-joint.

Voici ce que nous savons et ce que vous devez faire.

À quel point CVE-2024-43468 est-il dangereux ?

Microsoft lui-même a classé CVE-2024-43468 comme une vulnérabilité critique, bien qu’elle n’ait pas été signalée comme divulguée publiquement ou exploitée à l’état sauvage, ce qui signifie qu’il ne s’agit pas d’une menace zero-day. La raison pour laquelle ce problème est pris si au sérieux est qu’il a un impact sur le gestionnaire de configuration de Microsoft et peut exécuter du code à distance s’il est exploité avec succès. « Un attaquant non authentifié pourrait exploiter cette vulnérabilité en envoyant des requêtes spécialement conçues à l’environnement cible qui seraient traitées de manière dangereuse, permettant à l’attaquant d’exécuter des commandes sur le serveur et/ou la base de données sous-jacente », a prévenu Microsoft. Un professionnel de la sécurité a décrit CVE-2024-43468 comme étant sans interaction et peu complexe, la pire combinaison possible que l’on puisse trouver dans une vulnérabilité comme celle-ci.

Atténuer CVE-2024-43468 n’est pas du tout simple

Adam Barnett, l’ingénieur logiciel principal chez Rapid7 qui l’a décrit ainsi, a averti que la mise à jour est loin d’être simple. « La mise à jour correspondante est installée dans la console Configuration Manager », a déclaré Barnett, « et nécessite des actions d’administrateur spécifiques que Microsoft décrit en détail dans une série générique d’articles. » Un autre, Tyler Reguly, directeur associé de la recherche et du développement en sécurité chez Fortra, a convenu que le processus de mise à jour de cette vulnérabilité n’est pas aussi simple que l’installation d’un correctif. Parce qu’il nécessite une mise à jour dans la console qui nécessite ensuite que l’utilisateur confirme les mises à jour exactes à installer, a déclaré Reguly, et ne met pas à jour les sites secondaires à moins que les administrateurs n’effectuent un autre processus manuel, « l’existence d’environnements vulnérables au sein de l’entreprise » peut être créé

En effet, les étapes nécessaires sont détaillées dans un Article de la Base de connaissances Microsoft KB29166583 publié pour la première fois le 4 septembre. Celui-ci a ensuite été « non publié et republié le 18 septembre », a expliqué Barnett, « sans aucune mention de CVE-2024-43468 ». Barnett conseille aux défenseurs de lire très attentivement la documentation disponible « et de la relire ensuite probablement pour faire bonne mesure ».

Ainsi, vous savez quoi faire : mettre à jour dès que possible si vous utilisez Microsoft Configuration Manager. « L’exploitation réussie de cette vulnérabilité peut permettre un mouvement latéral à travers un réseau et offre le potentiel de déployer des configurations malveillantes sur d’autres systèmes », a déclaré Cody Dietz, chef d’équipe d’ingénierie de sécurité chez Automox, conseillant une action immédiate et recommandant l’utilisation de « un autre compte de service à la place du compte informatique pour atténuer les risques. »