Nouvelle date limite de sécurité pour Microsoft Windows : vous devez agir avant le 1er octobre
Les mises à jour de sécurité Patch Tuesday de Microsoft étant désormais disponibles et l’Exploit Wednesday étant derrière nous, ce n’est pas le moment de se reposer sur ses lauriers. En fait, l’Agence de cyberdéfense américaine, plus connue auparavant sous le nom d’Agence de cybersécurité et de sécurité des infrastructures, a émis une directive exigeant que trois vulnérabilités Windows soient corrigées avant le 1er octobre. Bien que le mandat de la CISA ne s’applique qu’aux employés fédéraux, l’agence de sécurité indique clairement que chaque organisation doit utiliser le catalogue des vulnérabilités connues pour suivre l’activité des menaces et conseiller ses cadres de gestion des vulnérabilités. Étant donné que les vulnérabilités répertoriées sont toutes connues pour être activement exploitées par des acteurs malveillants, tout le monde doit en tenir compte et appliquer la même urgence pour s’assurer qu’eux-mêmes et leurs organisations sont dans la meilleure position pour se défendre contre de tels attaquants.
Les vulnérabilités Windows en cours d’exploitation et dont la CISA exige la mise à jour immédiate
La CISA a ajouté un total de quatre vulnérabilités Microsoft à la Catalogue KEVdont l’un affecte les utilisateurs de Microsoft Publisher tandis que les trois autres sont tous liés à Windows.
Le Annonce de la CISA confirme que ceux-ci sont les suivants :
- CVE-2024-38014 est une vulnérabilité d’escalade des privilèges du programme d’installation de Microsoft Windows affectant Windows 10, Windows 11 et Windows Server.
- CVE-2024-38217 est une vulnérabilité de contournement de sécurité Microsoft Windows Mark of the Web affectant Windows 10, Windows 11 et Windows Server.
- CVE-2024-43491 est une vulnérabilité d’exécution de code à distance de Microsoft Windows Update affectant Windows 10 version 1507.
- CVE-2024-38226 est une vulnérabilité de contournement de sécurité Microsoft Publisher affectant Microsoft Publisher et Microsoft Office.
En ce qui concerne la vulnérabilité CVE-2024-38014, Satnam Narang, ingénieur de recherche senior chez Tenable, a déclaré qu’il s’agissait d’une exploitation d’activité post-compromission, ce qui signifie qu’un attaquant qui a déjà eu accès à un système compromis peut utiliser la vulnérabilité pour élever ses privilèges et ainsi obtenir une nouvelle compromission. « La manière dont ces attaquants accèdent à ces systèmes peut varier », a déclaré Narang, « qu’il s’agisse d’exploiter d’autres vulnérabilités, de phishing ciblé ou d’attaques par force brute. »
La vulnérabilité CVE-2024-30217 est particulièrement inquiétante, et je l’ai déjà évoquée en détail ici, mais comme me l’a expliqué Saeed Abbasi, responsable de la recherche sur les vulnérabilités à l’unité de recherche sur les menaces de Qualys, cette vulnérabilité « permet à un attaquant de manipuler les avertissements de sécurité qui informent généralement les utilisateurs des risques liés à l’ouverture de fichiers provenant de sources inconnues ou non fiables », exactement le type de contournement qui a été associé à de nombreuses attaques de ransomware.
J’ai également examiné de plus près la vulnérabilité d’exécution de code à distance CVE-2024-43491 de Windows Update qui, bien qu’elle soit limitée à un sous-ensemble relativement restreint d’utilisateurs de Windows 10, est aussi dangereuse que le suggère la note de gravité de 9,8 sur 10 des vulnérabilités et expositions courantes. Comment cela ? Elle permet à un attaquant d’annuler les mises à jour de sécurité déjà installées sur une machine et d’exposer ce système aux vulnérabilités qu’il n’a plus corrigées. Comme l’a déclaré Kev Breen, directeur principal de la recherche sur les menaces chez Immersive Labs, ces vulnérabilités étant à nouveau exposées, « les attaquants pourraient toujours les exploiter même si Windows Update indique qu’elles sont entièrement corrigées ».
« La CISA exhorte vivement toutes les organisations à réduire leur exposition aux cyberattaques en donnant la priorité à la correction rapide des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités », a déclaré la CISA, concluant : « La CISA continuera d’ajouter des vulnérabilités au catalogue qui répondent aux critères spécifiés. »