Microsoft a clôturé ses mises à jour du Patch Tuesday pour 2024 avec des correctifs pour un total de 72 failles de sécurité couvrant son portefeuille de logiciels, dont un qui, selon lui, a été exploité à l’état sauvage.
Sur les 72 failles, 17 sont classées critiques, 54 sont classées importantes et une est classée de gravité modérée. Trente et une des vulnérabilités sont des failles d’exécution de code à distance, et 27 d’entre elles permettent une élévation de privilèges.
Ceci s’ajoute à 13 vulnérabilités la société a résolu ce problème dans son navigateur Edge basé sur Chromium depuis la publication de la mise à jour de sécurité du mois dernier. Au total, Microsoft a résolu jusqu’à 1 088 vulnérabilités rien qu’en 2024, selon Fortra.
La vulnérabilité que Microsoft a reconnu comme ayant été activement exploitée est CVE-2024-49138 (score CVSS : 7,8), une faille d’élévation de privilèges dans le pilote Windows Common Log File System (CLFS).
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM », a déclaré la société dans un avis, attribuant à la société de cybersécurité CrowdStrike la découverte et le signalement de la faille.
Il convient de noter que CVE-2024-49138 est la cinquième faille d’élévation de privilèges CLFS activement exploitée depuis 2022 après CVE-2022-24521, CVE-2022-37969, CVE-2023-23376 et CVE-2023-28252 (scores CVSS : 7,8). ). Il s’agit également de la neuvième vulnérabilité du même composant à être corrigée cette année.
« Bien que les détails de l’exploitation dans la nature ne soient pas encore connus, si l’on regarde l’historique des vulnérabilités des pilotes CLFS, il est intéressant de noter que les opérateurs de ransomwares ont développé un penchant pour l’exploitation des failles d’élévation de privilèges CLFS au cours des dernières années. » Satnam Narang, ingénieur de recherche senior chez Tenable, a déclaré à The Hacker News.
« Contrairement aux groupes de menaces persistantes avancées qui se concentrent généralement sur la précision et la patience, les opérateurs de ransomwares et leurs affiliés se concentrent sur les tactiques de smash and grab par tous les moyens nécessaires. En utilisant des failles d’élévation de privilèges comme celle-ci dans CLFS, les affiliés de ransomwares peuvent traverser une zone donnée. réseau afin de voler et de chiffrer des données et de commencer à extorquer leurs victimes. »
Le fait que CLFS soit devenu une voie d’attaque attrayante pour les acteurs malveillants n’est pas passé inaperçu auprès de Microsoft, qui a déclaré qu’il travaillait à l’ajout d’une nouvelle étape de vérification lors de l’analyse de ces fichiers journaux.
« Au lieu d’essayer de valider des valeurs individuelles dans les structures de données des fichiers journaux, cette atténuation de sécurité offre à CLFS la possibilité de détecter quand les fichiers journaux ont été modifiés par autre chose que le pilote CLFS lui-même », Microsoft noté fin août 2024. « Cela a été accompli en ajoutant des codes d’authentification de message basés sur le hachage (HMAC) à la fin du fichier journal. »
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a depuis ajouté la faille de ses vulnérabilités exploitées connues (KEV), obligeant les agences du Pouvoir exécutif civil fédéral (FCEB) à appliquer les mesures correctives nécessaires avant le 31 décembre 2024.
Le bogue le plus grave dans la version de ce mois-ci est une faille d’exécution de code à distance affectant le protocole LDAP (Lightweight Directory Access Protocol) de Windows. Il est suivi comme CVE-2024-49112 (score CVSS : 9,8).
« Un attaquant non authentifié qui parviendrait à exploiter cette vulnérabilité pourrait obtenir l’exécution de code via un ensemble d’appels LDAP spécialement conçus pour exécuter du code arbitraire dans le contexte du service LDAP », a déclaré Microsoft.
A noter également trois autres failles d’exécution de code à distance impactant Windows Hyper-V (CVE-2024-49117score CVSS : 8,8), client de bureau à distance (CVE-2024-49105score CVSS : 8,4) et Microsoft Musique (CVE-2024-49063score CVSS : 8,4).
Ce développement intervient alors que 0patch a publié des correctifs non officiels pour une vulnérabilité Zero Day de Windows qui permet aux attaquants de capturer les informations d’identification de NT LAN Manager (NTLM). Des détails supplémentaires sur la faille ont été retenus jusqu’à ce qu’un correctif officiel soit disponible.
« La vulnérabilité permet à un attaquant d’obtenir les informations d’identification NTLM de l’utilisateur en demandant simplement à l’utilisateur de visualiser un fichier malveillant dans l’Explorateur Windows – par exemple, en ouvrant un dossier partagé ou un disque USB contenant un tel fichier, ou en affichant le dossier Téléchargements dans lequel ce fichier a été précédemment automatiquement téléchargé. depuis la page Web de l’attaquant », Mitja Kolsek dit.
Fin octobre, des correctifs non officiels gratuits ont également été mis à disposition pour remédier à une vulnérabilité Zero Day des thèmes Windows qui permet aux attaquants de voler à distance les informations d’identification NTLM d’une cible.
0patch a également micropatchs émis pour une autre vulnérabilité jusqu’alors inconnue sur Windows Server 2012 et Server 2012 R2 qui permet à un attaquant de contourner les protections Mark-of-the-Web (MotW) sur certains types de fichiers. On pense que le problème a été introduit il y a plus de deux ans.
Avec NTLM faisant l’objet d’une exploitation intensive via relais et attaques par passe-hachageMicrosoft a annoncé son intention d’abandonner l’ancien protocole d’authentification au profit de Kerberos. En outre, il a pris la décision d’activer la protection étendue pour l’authentification (EPA) par défaut pour les installations nouvelles et existantes d’Exchange 2019.
Microsoft a déclaré avoir déployé une amélioration de sécurité similaire à Azure Directory Certificate Services (AD CS) en activant EPA par défaut avec la version de Windows Server 2025, qui supprime également la prise en charge de NTLM v1 et déprécie NTLM v2. Ces modifications s’appliquent également à Windows 11 24H2.
« De plus, dans le cadre de la même version de Windows Server 2025, la liaison de canal LDAP est désormais activée par défaut », a déclaré l’équipe de sécurité de Redmond. dit plus tôt cette semaine. « Ces améliorations de sécurité atténuent le risque de relais d’attaques NTLM par défaut sur trois services sur site : Exchange Server, Active Directory Certificate Services (AD CS) et LDAP.
« À mesure que nous progressons vers la désactivation de NTLM par défaut, des changements immédiats et à court terme, tels que l’activation d’EPA dans Exchange Server, AD CS et LDAP, renforcent une posture « sécurisée par défaut » et protègent les utilisateurs contre les attaques du monde réel.
Correctifs logiciels d’autres fournisseurs
En dehors de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :