Microsoft publie une mise à jour de sécurité pour corriger 118 vulnérabilités, 5 zero-days

Microsoft, mardi, a publié son Patch Tuesday d’octobre 2024, qui traite 118 vulnérabilités de sécurité, y compris cinq zero-days divulgués publiquement, dont deux sont activement exploités dans la nature.

Parmi les 118 vulnérabilités, 3 sont classées comme critiques, 108 comme importantes et 7 comme de faible gravité. Ces vulnérabilités se sont produites sur différentes plateformes, y compris Azure CLI, Microsoft Defender for Endpoint, Microsoft Office, Microsoft Edge, Visual Studio, Windows Storage, Windows Remote Desktop, DeepSpeed, et divers composants de Windows 10, 11 et Windows Server.

Les trois vulnérabilités marquées « critiques » sont toutes des failles d’exécution de code à distance (RCE), qui, si elles sont exploitées, pourraient permettre à un attaquant d’exécuter du code arbitraire sur votre appareil.

• CVE-2024-43582 : Affecte Windows Remote Desktop. « Pour exploiter cette vulnérabilité, un attaquant non authentifié devrait envoyer des paquets malformés à un hôte RPC. Cela pourrait entraîner une exécution de code à distance côté serveur avec les mêmes permissions que le service RPC », a déclaré Microsoft. Cependant, l’exploitation réussie de cette vulnérabilité nécessite qu’un attaquant gagne une condition de course.

• CVE-2024-43488 : Cette vulnérabilité affecte l’extension Visual Studio Code pour Arduino. Selon son avis, Microsoft a déjà entièrement atténué cette vulnérabilité, ce qui signifie que les utilisateurs de ce service ne sont pas tenus de prendre des mesures.

• CVE-2024-43468 : Affecte Microsoft Configuration Manager. Selon Microsoft, « Un attaquant non authentifié pourrait exploiter cette vulnérabilité en envoyant des requêtes spécialement conçues à l’environnement cible qui sont traitées de manière non sécurisée, permettant à l’attaquant d’exécuter des commandes sur le serveur et/ou la base de données sous-jacente. »

De plus, les deux vulnérabilités zero-day activement exploitées dans la nature que Microsoft a traitées dans la mise à jour Patch Tuesday d’octobre 2024 sont :

• CVE-2024-43573 – Vulnérabilité de spoofing de la plateforme MSHTML de Windows

Cette vulnérabilité de spoofing affecte Windows MSHTML, un moteur de rendu de navigateur utilisé par les applications Windows, y compris Internet Explorer et les produits Microsoft Office, pour rendre le contenu web.

« Bien que Microsoft ait annoncé la retraite de l’application Internet Explorer 11 sur certaines plateformes et que l’application Microsoft Edge Legacy soit obsolète, les plateformes MSHTML, EdgeHTML et de script sous-jacentes sont toujours prises en charge. La plateforme MSHTML est utilisée par le mode Internet Explorer dans Microsoft Edge ainsi que par d’autres applications via le contrôle WebBrowser », explique Microsoft dans son avis.

« La plateforme EdgeHTML est utilisée par WebView et certaines applications UWP. Les plateformes de script sont utilisées par MSHTML et EdgeHTML mais peuvent également être utilisées par d’autres applications héritées. Les mises à jour pour traiter les vulnérabilités de la plateforme MSHTML et du moteur de script sont incluses dans les mises à jour cumulatives IE ; les modifications EdgeHTML et Chakra ne s’appliquent pas à ces plateformes. »

• CVE-2024-43572 – Vulnérabilité d’exécution de code à distance de la console de gestion Microsoft

Cette exploitation permet à des fichiers de console Microsoft sauvegardés (MSC) malveillants d’effectuer une RCE sur des appareils ciblés. Pour protéger les clients contre les risques associés à cette vulnérabilité, Microsoft a atténué cela en empêchant l’ouverture de fichiers MSC non fiables.

De plus, il y a trois autres vulnérabilités zero-day divulguées qui n’ont pas été activement exploitées, bien que Microsoft les considère comme « importantes » à corriger :

• CVE-2024-6197 : Cette faille RCE affecte l’implémentation cURL de Windows, qui nécessite qu’un client se connecte à un serveur malveillant. Cependant, les chances que cette faille soit exploitée sont très faibles, car elle nécessite une interaction de l’utilisateur pour sélectionner le serveur et communiquer avec lui.

• CVE-2024-43583 : Il s’agit d’une vulnérabilité d’élévation de privilèges Winlogon, qui, si elle est exploitée avec succès, pourrait permettre à un attaquant d’obtenir des privilèges SYSTEM.

• CVE-2024-20659 : Cette vulnérabilité de contournement de la fonctionnalité de sécurité Hyper-V concerne les machines virtuelles au sein d’une machine hôte d’interface de firmware extensible unifiée (UEFI). Si elle est exploitée avec succès, les attaquants peuvent contourner la machine hôte UEFI et compromettre les machines virtuelles à l’intérieur.

Pour installer les mises à jour de sécurité du Patch Tuesday d’octobre 2024, allez dans Paramètres > Mise à jour et sécurité > Windows Update puis cliquez sur le bouton Vérifier les mises à jour.

Vous pouvez consulter la liste complète des vulnérabilités que Microsoft traite dans les mises à jour de sécurité du Patch Tuesday d’octobre 2024 ici.