Microsoft corrige 2 zero-days activement exploités, 61 vulnérabilités

Microsoft a publié mardi son Patch Tuesday de mai 2024, qui comprend des correctifs pour 61 vulnérabilités.

Ce Patch Tuesday corrige deux vulnérabilités zero-day affectant Windows MSHTML (CVE-2024-30040) et la bibliothèque principale du Gestionnaire de fenêtres de bureau (DWM) (CVE-2024-30051).

Il corrige également une vulnérabilité critique d’exécution de code à distance (RCE) affectant le serveur Microsoft SharePoint (CVE-2024-30044).

Les deux vulnérabilités zero-day activement exploitées que Microsoft aborde dans la mise à jour du Patch Tuesday de mai 2024 sont :

CVE-2024-30040 – Vulnérabilité de contournement de la fonctionnalité de sécurité de la plateforme Windows MSHTML

Selon l’avis de Microsoft, cette vulnérabilité de contournement de la fonctionnalité de sécurité contourne les atténuations OLE dans Microsoft 365 et Microsoft Office qui protègent les utilisateurs contre les contrôles COM/OLE vulnérables.

“Un attaquant devrait convaincre l’utilisateur de charger un fichier malveillant sur un système vulnérable, généralement par le biais d’une incitation dans un e-mail ou un message de messagerie instantanée, puis convaincre l’utilisateur de manipuler le fichier spécialement conçu, mais pas nécessairement de cliquer ou d’ouvrir le fichier malveillant,” explique Microsoft dans l’avis.

“Un attaquant non authentifié qui exploite avec succès cette vulnérabilité pourrait obtenir une exécution de code en convainquant un utilisateur d’ouvrir un document malveillant, à quel point l’attaquant pourrait exécuter un code arbitraire dans le contexte de l’utilisateur,” a ajouté Microsoft.

CVE-2024-30051 – Vulnérabilité d’élévation de privilèges de la bibliothèque principale DWM de Windows

CVE-2024-30051 est une vulnérabilité de débordement de tampon basé sur le tas (CWE-122) dans la bibliothèque principale du Gestionnaire de fenêtres de bureau (DWM) de Windows.

Un attaquant peut exploiter avec succès cette vulnérabilité pour obtenir des privilèges SYSTEM sur un système cible.

Il n’est pas connu, et le géant de Redmond n’a pas partagé d’informations sur les attaques exploitant les vulnérabilités ci-dessus ni sur qui les a découvertes.

Vous pouvez consulter la liste complète des vulnérabilités traitées par Microsoft dans les mises à jour de sécurité du Patch Tuesday de mai 2024 ici.

La liste offre des explications sur chaque vulnérabilité et les systèmes qu’elle affecte.