Windows Zero-Days critique corrigé dans la mise à jour de novembre
Le Patch Tuesday de novembre 2024 de Microsoft a corrigé 91 vulnérabilités. Cela comprend quatre jours zéro, dont deux ont été activement exploités lors d’attaques.
Le cycle de correctifs comprenait des correctifs pour 26 vulnérabilités d'élévation de privilèges, deux vulnérabilités de contournement de fonctionnalités de sécurité, 52 vulnérabilités d'exécution de code à distance, une vulnérabilité de divulgation d'informations, quatre vulnérabilités de déni de service et trois vulnérabilités d'usurpation d'identité. La vulnérabilité Zero Day activement exploitée était CVE-2024-49039, découverte par Vlad Stolyarov et Bahare Sabouri du groupe d'analyse des menaces de Google. Cela permet à une application malveillante d’obtenir plus de contrôle qu’elle ne le devrait (niveau d’intégrité moyen), permettant potentiellement l’accès à des fonctions restreintes. Tout en nécessitant une application spécialement conçue, cette élévation de privilèges permet de s'échapper des sandbox AppContainer, augmentant ainsi l'impact d'une attaque.
Trois autres vulnérabilités ont été divulguées publiquement, mais il n'a pas été confirmé qu'elles étaient activement exploitées lors d'attaques. Le premier est CVE-2024-43451, découvert par Israel Yeshurun de ClearSky Cyber Security. Cela a révélé les hachages NTLMv2 aux attaquants, mais en clair, cela divulgue les informations de connexion d'un utilisateur (hachage NTLM) s'il clique simplement ou fait un clic droit sur un fichier malveillant. Pour être clair, vous devez télécharger le fichier mais vous n’avez pas besoin de l’exécuter ; un clic gauche ou droit l’activera. En cas de succès, les attaquants peuvent alors usurper l'identité de l'utilisateur. Gardez à l'esprit que la source originale semble avoir tapé et mis « CVE-2024-43491 » comme étant corrigé au lieu de « CVE-2024-43451 », mais il n'y a aucune autre mention de CVE-2024-43491, et il y a un correction pour CVE-2024-43451, nous mettons donc deux et deux ensemble. On pensait initialement que cela était exploité, mais cela ne semble pas avoir été le cas après une clarification de Microsoft.
Les deux autres vulnérabilités sont CVE-2024-49040, découvertes par Slonser chez Solidlab, qui permettaient aux attaquants d'usurper les adresses e-mail des expéditeurs dans les e-mails envoyés à des destinataires locaux sur Microsoft Exchange Server. CVE-2024-49019, découvert par Lou Scicchitano, Scot Berner et Justin Bollinger avec TrustedSec, a permis aux attaquants d'obtenir les privilèges d'administrateur de domaine en abusant des modèles de certificats intégrés par défaut de la version 1.
La meilleure façon de lutter contre ces vulnérabilités est de maintenir votre PC à jour. Ces mises à jour seront déployées sur tous les PC Windows 10 et Windows 11 pris en charge dans les prochains jours.