Microsoft corrige six vulnérabilités zero-day de Windows activement exploitées

Microsoft a publié mardi le Patch Tuesday d’août 2024, qui comprenait des mises à jour de sécurité pour 90 failles à travers Windows et ses composants, y compris six vulnérabilités zero-day activement exploitées et quatre divulguées publiquement.

« Bien que ce ne soit pas la plus grande publication, il est inhabituel de voir autant de bugs listés comme publics ou sous attaque active dans une seule publication », ont écrit les chercheurs du programme Zero Day Initiative (ZDI) de Trend Micro dans une analyse.

Voici les détails sur les six vulnérabilités zero-day activement exploitées qui ont été corrigées en août 2024 lors du Patch Tuesday :

CVE-2024-38178 : Vulnérabilité de corruption de mémoire du moteur de script ( CVSS 7.5/10)

Cette vulnérabilité zero-day, signalée par Ahn Lab et le Centre national de cybersécurité de Corée du Sud (NCSC), est une vulnérabilité de corruption de mémoire dans le moteur de script Windows qui peut entraîner une exécution de code à distance (RCE). L’attaque nécessite qu’un client authentifié soit trompé en cliquant sur un lien pour qu’un attaquant non authentifié puisse initier l’exécution de code à distance.

Selon Microsoft, cette vulnérabilité ne peut être exploitée avec succès que si la cible utilise Edge en mode Internet Explorer (IE). L’attaquant devrait alors compromettre l’utilisateur en cliquant sur une URL spécialement conçue.

CVE-2024-38189 — Vulnérabilité d’exécution de code à distance de Microsoft Project (CVSS 8.8/10)

Cette vulnérabilité est une faille d’exécution de code à distance dans Microsoft Project, qui est exploitée dans la nature à travers des fichiers malicieusement conçus.

« L’exploitation nécessite que la victime ouvre un fichier Microsoft Office Project malveillant sur un système où la politique de blocage des macros dans les fichiers Office provenant d’Internet est désactivée et où les paramètres de notification des macros VBA ne sont pas activés, permettant à l’attaquant d’effectuer une exécution de code à distance », explique l’avis.

Microsoft n’a pas révélé qui a découvert la vulnérabilité ci-dessus ni comment elle a été exploitée dans la nature.

CVE-2024-38107 — Vulnérabilité d’élévation de privilèges du coordinateur de dépendance de Windows Power (CVSS 7.8/10)

Il s’agit d’une faille d’élévation de privilèges dans le coordinateur de dépendance de Windows Power. Si un attaquant exploite avec succès cette vulnérabilité, il pourrait obtenir des privilèges au niveau SYSTEM sur une machine cible. Microsoft n’a pas fourni de détails sur qui a divulgué la faille.

CVE-2024-38106 – Vulnérabilité d’élévation de privilèges du noyau Windows (CVSS 7.0/10)

Cette vulnérabilité zero-day, qui existait dans le noyau Windows, a été signalée anonymement à Microsoft.

« L’exploitation réussie de cette vulnérabilité nécessite qu’un attaquant gagne une condition de course », explique l’avis de Microsoft. « Un attaquant qui exploite avec succès cette vulnérabilité pourrait obtenir des privilèges SYSTEM. »

CVE-2024-38213 — Vulnérabilité de contournement de la fonctionnalité de sécurité Mark of the Web de Windows (CVSS 6.5/10)

Cette faille permet aux attaquants de contourner la fonctionnalité de sécurité Mark of the Web (MoTW) de Windows. Pour exploiter avec succès cette vulnérabilité, un attaquant doit envoyer à l’utilisateur un fichier malveillant et le convaincre de l’ouvrir afin de contourner l’expérience utilisateur SmartScreen.

CVE-2024-38193 – Vulnérabilité d’élévation de privilèges du pilote de fonction auxiliaire de Windows pour WinSock (CVSS : 7.8/10)**

Cette vulnérabilité, qui a été découverte par Luigino Camastra et Milánek avec Gen Digital, permet aux attaquants d’obtenir des privilèges SYSTEM sur les systèmes Windows.

Pour des informations détaillées sur les quatre vulnérabilités zero-day divulguées publiquement, vous pouvez cliquer ici.

Microsoft a recommandé aux utilisateurs de Windows et aux administrateurs système de donner la priorité à la mise à jour de leurs systèmes, ce qui les rend vulnérables à des attaques d’exécution de code à distance, d’élévation de privilèges et de contournement de fonctionnalités de sécurité.