Microsoft Avertit Qu'une Vulnérabilité Zero-day d'Office Peut Mener à une Fuite de Données

Microsoft a divulgué une vulnérabilité zero-day de haute gravité affectant plusieurs produits Office et 365 Enterprise, pour laquelle un correctif est encore en cours de développement.

La vulnérabilité suivie sous le nom CVE-2024-38200 est causée par une faiblesse de divulgation d’informations que les hackers peuvent facilement exploiter pour voler des données privées et protégées d’individus ou d’organisations, y compris l’état du système et les données d’environnement ou de configuration, l’état et les données de configuration du réseau, ou les métadonnées de connexion.

La vulnérabilité zero-day (CVE-2024-38200) affecte les produits suivants :

• Microsoft Office 2016 (32 bits & 64 bits)

• Microsoft Office 2019 (32 bits & 64 bits)

• Microsoft Office LTSC 2021 (32 bits & 64 bits)

• Microsoft 365 Apps for Enterprise (32 bits & 64 bits)

Selon l’évaluation de l’exploitabilité de Microsoft, la probabilité d’exploiter CVE-2024-38200 est « moins probable », mais MITRE a suggéré que les chances d’exploitation pour ce type de faiblesse sont élevées.

« Dans un scénario d’attaque basé sur le web, un attaquant pourrait héberger un site web (ou tirer parti d’un site web compromis qui accepte ou héberge du contenu fourni par l’utilisateur) contenant un fichier spécialement conçu pour exploiter la vulnérabilité », explique l’avis de Microsoft.

« Cependant, un attaquant n’aurait aucun moyen de forcer l’utilisateur à visiter le site web. Au lieu de cela, un attaquant devrait convaincre l’utilisateur de cliquer sur un lien, généralement par le biais d’une incitation dans un e-mail ou un message Instant Messenger, puis convaincre l’utilisateur d’ouvrir le fichier spécialement conçu. »

Actuellement, Microsoft développe des mises à jour de sécurité pour remédier à cette vulnérabilité zero-day, mais n’a pas encore annoncé de date de publication.

Microsoft a attribué la découverte de CVE-2024-38200 à Jim Rush, un consultant en sécurité chez PrivSec Consulting, et Metin Yunus Kandemir, un membre de l’équipe Synack Red.

Plus d’informations sur cette vulnérabilité seront fournies par Rush lors de sa prochaine conférence à Defcon intitulée « NTLM – Le dernier tour », a déclaré Peter Jakowetz, directeur général chez PrivSec à BleepingComputer.

« Il y aura une plongée approfondie sur plusieurs nouveaux bugs que nous avons divulgués à Microsoft (y compris le contournement d’un correctif pour un CVE existant), certaines techniques intéressantes et utiles, combinant des techniques de plusieurs classes de bugs résultant en découvertes inattendues et certains bugs absolument cuits. Nous mettrons également en lumière certains défauts qui ne devraient tout simplement pas exister dans des bibliothèques ou des applications sensées ainsi que certaines lacunes flagrantes dans certains des contrôles de sécurité liés à Microsoft NTLM », explique Rush.

De plus, Microsoft travaille également à corriger des défauts zero-day qui pourraient forcer des logiciels entièrement à jour à revenir à une version antérieure avec des vulnérabilités connues et exploitables.

Plus tôt cette semaine, la société a également annoncé qu’elle travaillait à corriger un contournement de Windows Smart App Control, SmartScreen qui a été exploité dans la nature depuis 2018.