Microsoft exhorte les utilisateurs de Windows à mettre à jour leurs systèmes immédiatement après avoir confirmé quatre nouvelles vulnérabilités Zero Day dans le cadre de son correctif de sécurité de novembre. Parmi plus de 90 problèmes de sécurité signalés, deux de ces failles Zero Day sont activement exploitées, ce qui présente des risques importants pour les utilisateurs.
Comprendre les vulnérabilités du jour zéro
Microsoft a une perspective unique sur ce qui constitue une menace Zero Day, en considérant à la fois les vulnérabilités divulguées publiquement et celles activement attaquées. Comme souligné dans la version du Patch Tuesday de novembre 2024, deux des quatre vulnérabilités identifiées sont actuellement exploitées.
CVE-2024-43451 est particulièrement remarquable ; il s’agit d’une vulnérabilité d’usurpation d’identité de divulgation de hachage de NT LAN Manager qui pourrait exposer le protocole d’authentification NTLM. Selon Ryan Braunstein, chef d’équipe des opérations de sécurité chez Automox, la faille nécessite une interaction de l’utilisateur pour être exploitée. Plus précisément, les utilisateurs doivent ouvrir un fichier contrefait envoyé via des tentatives de phishing pour que l’attaque réussisse. Lorsqu’elle est compromise, cette vulnérabilité permet aux attaquants de s’authentifier potentiellement en tant qu’utilisateur grâce à la divulgation du hachage NTLM, destiné à protéger les mots de passe.
D’un autre côté, CVE-2024-49039 est une vulnérabilité d’élévation de privilèges du Planificateur de tâches Windows. Henry Smith, ingénieur principal en sécurité chez Automox, a noté que cette faille exploite les fonctions d’appel de procédure à distance, permettant à un attaquant d’élever ses privilèges après avoir obtenu un premier accès à un système Windows. Les correctifs restent la défense la plus fiable contre ces vulnérabilités, d’autant plus que le code d’exploitation fonctionnel circule déjà dans la nature.
Vulnérabilités critiques évaluées à une gravité de 9,8
Pour ajouter à l’alarme, deux vulnérabilités ont été notées 9,8 sur le système commun de notation des vulnérabilités, indiquant leur impact potentiel. CVE-2024-43498 affecte les applications Web .NET, permettant à des attaquants distants non authentifiés d’exploiter l’application via des requêtes malveillantes. Pendant ce temps, CVE-2024-43639 cible Windows Kerberos, permettant à des attaquants non autorisés d’exécuter du code via les mêmes vecteurs non authentifiés.
Toutefois, l’accent devrait être mis sur deux vulnérabilités de sécurité classées critiques à 9,8 sur l’échelle de gravité de l’impact, selon Tyler Reguly, directeur associé pour la recherche et le développement en matière de sécurité chez Fortra. « Bien que le système commun de notation des vulnérabilités ne soit pas un indicateur de risque », Reguly dit« les scores de 9,8 sont souvent assez révélateurs de l’endroit où se situe le problème. »
Compte tenu de la gravité de ces vulnérabilités, Microsoft souligne l’importance d’appliquer des mises à jour de sécurité, notamment pour les utilisateurs fonctionnant sous Windows, Office, SQL Server, Exchange Server, .NET et Visual Studio. Chris Goettl, vice-président de la gestion des produits de sécurité chez Ivanti, a souligné que l’application de correctifs devrait être une priorité en raison de la nature connue et activement exploitée de ces vulnérabilités.
Suivi des attaques et vulnérabilités récentes
Les inquiétudes de Microsoft sont renforcées par de récents incidents au cours desquels des pirates informatiques russes ont exploité les vulnérabilités de leurs systèmes pour lancer des attaques ciblant spécifiquement des entités ukrainiennes. Cela met en évidence les implications plus larges de ces vulnérabilités au-delà des simples problèmes logiciels. Les chercheurs en sécurité de ClearSky ont signalé que la vulnérabilité de divulgation du hachage NTLM (CVE-2024-43451) était utilisée pour voler des hachages NTLMv2 via des programmes de phishing, déclenchant une séquence permettant aux attaquants d’accéder à distance aux systèmes compromis.
En utilisant des hyperliens contrefaits dans les e-mails de phishing, les attaquants ont forcé les utilisateurs à interagir avec des fichiers malveillants, activant ainsi la vulnérabilité qui se connecte à un serveur contrôlé par l’attaquant. Cela souligne la nécessité urgente pour les utilisateurs de rester vigilants et de signaler les communications suspectes.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté CVE-2024-43451 à son catalogue de vulnérabilités exploitées connues, exigeant que les organisations sécurisent leurs systèmes vulnérables d’ici début décembre. Comme l’a déclaré la CISA, ces vulnérabilités servent souvent de vecteurs d’attaque pour les cybercriminels malveillants et présentent de grands risques, en particulier au sein des réseaux fédéraux.
Forts de la connaissance de ces vulnérabilités, les utilisateurs sont invités à agir rapidement. Le Patch Tuesday de novembre de Microsoft est une étape nécessaire pour atténuer les risques associés aux failles nouvellement découvertes. Alors que les environnements de travail hybrides continuent de brouiller les frontières en matière de cybersécurité, le respect des meilleures pratiques et la garantie de mises à jour en temps opportun peuvent réduire considérablement l’exposition aux menaces potentielles.
Crédit image en vedette : Windows/Unsplash
