Microsoft a corrigé 91 failles en novembre alors que 117 l’ont été, le mois dernier. Selon la Zero Day Initiative (ZDI), l’année 2024 est la deuxième en termes de correctifs pour la firme de Redmond. En tout, ce sont 949 CVE qui ont été traités avant même les mises à jour de décembre.
Alors que les équipes de Microsoft planchent sur Windows 12, les failles sont aussi dans le viseur de la firme de Redmond. Sur les 91 failles corrigées en ce mois de novembre, en espérant que la mise à jour n’ajoute pas de nouveaux bugs, deux ont été exploitées par les pirates. Heureusement, le Patch tuesday Nov 2024 comble des vulnérabilités.
Quelles sont les failles corrigées par le Patch tuesday Nov 2024 ?
La première faille, CVE-2024-43451, permet aux pirates de mener une attaque par usurpation (spoofing) qui révèle le hash NTLMv2 des utilisateurs visés. Satnam Narang, ingénieur de recherche senior chez Tenable, explique qu’il s’agit de la troisième vulnérabilité de ce type exploitée en 2024. Une faille très dangereuse puisqu’elle permet aux pirates de s’authentifier sur des systèmes via la technique du “pass-the-hash” et de se déplacer latéralement dans un réseau.
C’est le planificateur de tâches Windows qui est visé par l’exploitation de la faille CVE-2024-49039. Le pirate doit d’abord être authentifié avant d’ouvrir une application malveillante à distance qui lui permet d’élever ses privilèges et d’exécuter du code. Notamment via des appels de procédure à distance.
Parmi les correctifs, on note deux zero-day. La première est CVE-2024-49019 qui concerne les élévations de privilèges des services de certificats Active Directory. La seconde, CVE-2024-49040, est liée à une vulnérabilité de type spoofing dans Microsoft Exchange Server.
Plusieurs autres failles critiques sont corrigées par Microsoft : CVE-2024-43639 (exécution de code à distance dans Kerberos) et CVE-2024-43625 (élévation de privilèges dans VMSwitch). Une autre vulnérabilité très dangereuse, au score CVSS de 9.9, a été corrigée : CVE-2024-43602, une vulnérabilité d’exécution à distance dans Azure CycleCloud. Satnam Narang note que la faille permettait à un pirate avec des autorisations minimales d’accéder à des privilèges root d’un simple envoi de requête modifiant un cluster CycleCloud vulnérable.
