1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Patch Gras Édition du mardi février 2024

Patch Gras Édition du mardi février 2024

Société Microsoft. aujourd'hui, des mises à jour logicielles poussées pour combler plus de 70 failles de sécurité dans son Fenêtres systèmes d'exploitation et produits associés, y compris deux vulnérabilités zero-day qui sont déjà exploitées dans des attaques actives.

Le sommet du tas sur ce Gros Patch mardi est Numéro de série: CVE-2024-21412, un "contournement des fonctionnalités de sécurité" dans la façon dont Windows gère les fichiers de raccourcis Internet qui, selon Microsoft, sont ciblés par des exploits actifs. L'avis de Redmond pour ce bogue indique qu'un attaquant devrait convaincre ou inciter un utilisateur à ouvrir un fichier de raccourci malveillant.

Chercheurs à Tendance Micro ont lié l'exploitation en cours de CVE-2024-21412 à un groupe de menaces persistantes avancées surnommé “Hydre de l'Eau, "qui, selon eux, utilise la vulnérabilité pour exécuter un fichier d'installation Microsoft malveillant (.msi) qui à son tour décharge un cheval de Troie d'accès à distance (RAT) sur les systèmes Windows infectés.

L'autre défaut du jour zéro est Numéro de série: CVE-2024-21351, un autre contournement de fonction de sécurité — celui-ci dans le haut - Écran intelligent Windows composant qui tente de filtrer les fichiers potentiellement malveillants téléchargés sur le Web. Kevin Breen à Laboratoires Immersifs il est important de noter que cette vulnérabilité à elle seule ne suffit pas à un attaquant pour compromettre le poste de travail d'un utilisateur, et qu'elle serait probablement utilisée conjointement avec quelque chose comme une attaque de spear phishing qui délivre un fichier malveillant.

Satnam Nérang, ingénieur de recherche senior chez Tenable, a déclaré qu'il s'agissait de la cinquième vulnérabilité dans Windows SmartScreen corrigée depuis 2022 et que toutes les cinq avaient été exploitées à l'état sauvage en tant que zéro jour. Ils incluent CVE-2022-44698 en décembre 2022, CVE-2023-24880 en mars 2023, CVE-2023-32049 en juillet 2023 et CVE-2023-36025 en novembre 2023.

Narang a appelé une attention particulière à Numéro de série: CVE-2024-21410, un bug “d'élévation de privilèges " dans Serveur Microsoft Exchange qui, selon Microsoft, est susceptible d'être exploité par des attaquants. Les attaques sur cette faille conduiraient à la divulgation de hachages NTLM, qui pourraient être exploités dans le cadre d'un relais NTLM ou d'une attaque “passer le hachage”, ce qui permet à un attaquant de se faire passer pour un utilisateur légitime sans jamais avoir à se connecter.

” Nous savons que les failles qui peuvent divulguer des informations sensibles comme les hachages NTLM sont très précieuses pour les attaquants", a déclaré Narang. “Un acteur de la menace basé en Russie a exploité une vulnérabilité similaire pour mener des attaques-CVE – 2023-23397 est une vulnérabilité d'élévation de privilèges dans Microsoft Outlook corrigée en mars 2023.”

Microsoft note qu'avant sa mise à jour cumulative Exchange Server 2019 14 (CU14), une fonctionnalité de sécurité appelée Protection étendue pour l'authentification (EPA), qui fournit des protections de relais d'informations d'identification NTLM, n'était pas activée par défaut.

” À l'avenir, CU14 l'active par défaut sur les serveurs Exchange, c'est pourquoi il est important de procéder à une mise à niveau", a déclaré Narang.

Ingénieur logiciel en chef de Rapid7 Adam Barnett a écrit: mis en évidence Numéro CVE-2024-21413, un bogue critique d'exécution de code à distance dans Bureau de Microsoft cela pourrait être exploité simplement en affichant un message spécialement conçu dans le volet d'aperçu d'Outlook.

"Microsoft Office protège généralement les utilisateurs contre diverses attaques en ouvrant des fichiers avec la marque du Web en mode protégé, ce qui signifie qu'Office restituera le document sans récupérer de ressources externes potentiellement malveillantes”, a déclaré Barnett. "CVE-2024-21413 est une vulnérabilité RCE critique dans Office qui permet à un attaquant de provoquer l'ouverture d'un fichier en mode édition comme si l'utilisateur avait accepté de faire confiance au fichier.”

Barnett a souligné que les administrateurs responsables des installations d'Office 2016 qui appliquent des correctifs en dehors de Microsoft Update doivent noter que l'avis répertorie pas moins de cinq correctifs distincts qui doivent être installés pour remédier à CVE-2024-21413; les articles individuels de la base de connaissances sur les mises à jour (KB) notent en outre que les installations Office partiellement corrigées ne pourront démarrer que lorsque la combinaison correcte de correctifs aura été installée.

C'est une bonne idée pour les utilisateurs finaux de Windows de se tenir au courant des mises à jour de sécurité de Microsoft, qui peuvent rapidement s'accumuler autrement. Cela ne signifie pas que vous devez les installer le Patch Tuesday. En effet, attendre un jour ou trois avant la mise à jour est une réponse sensée, étant donné que parfois les mises à jour tournent mal et généralement en quelques jours, Microsoft a résolu tous les problèmes liés à ses correctifs. Il est également judicieux de sauvegarder vos données et/ou d'imager votre lecteur Windows avant d'appliquer de nouvelles mises à jour.

Pour une ventilation plus détaillée des failles individuelles corrigées par Microsoft aujourd'hui, consultez le Liste du SANS Internet Storm Center. Pour les administrateurs responsables de la maintenance d'environnements Windows plus importants, il est souvent utile de garder un œil sur Askwoody.com, qui indique fréquemment lorsque des mises à jour Microsoft spécifiques créent des problèmes pour un certain nombre d'utilisateurs.



>>Plus