Microsoft s'est surpassé avec les versions Patch Tuesday de ce mois-ci, qui ne contiennent aucun correctif Zero Day, bien qu'au moins un des correctifs corrige une faille déjà activement exploitée.
Les produits concernés par les mises à jour du Patch Tuesday les plus récentes incluent Windows et les composants Windows ; Azur; .NET Framework et Visual Studio ; Serveur SQL; Serveur dns; Windows Defender; Bitlocker ; et démarrage sécurisé de Windows.
La mise à jour d'avril de Microsoft comprenait 147 CVE, trois classés « critiques », 142 classés comme « importants » et deux classés comme « modérés » en termes de gravité. Ce nombre atteint 155 CVE si les failles tierces sont incluses. Ce nombre représente un record pour les correctifs du Patch Tuesday.
"Microsoft a corrigé 147 CVE en avril, soit le plus grand nombre de CVE corrigés en un mois depuis que nous avons commencé à suivre ces données en 2017", a déclaré Satnam Narang, ingénieur chercheur principal chez Tenable, dans un communiqué. « La dernière fois que plus de 100 CVE ont été corrigés, c'était en octobre 2023, lorsque Microsoft a corrigé 103 CVE. » Le précédent sommet remontait à juillet 2023, avec 130 CVE corrigés, a ajouté Narang.
Microsoft n'a pas indiqué qu'aucun des CVE du Patch Tuesday d'avril n'était une menace Zero Day, ce qui constitue un changement bienvenu par rapport à la série de divulgations Zero Day de l'année dernière.
"À la même époque l'année dernière, sept vulnérabilités zero-day ont été exploitées dans la nature", a déclaré Narang. Cette année, seuls deux jours zéro ont été exploités, tous deux en février. « Il est difficile de déterminer pourquoi nous avons constaté cette diminution, s'il s'agit simplement d'un manque de visibilité ou si cela signifie une tendance des attaquants à utiliser des vulnérabilités connues dans le cadre de leurs attaques contre les organisations. »
Cependant, Dustin Childs de Zero Day Initiative a noté dans son rapport d'avril Analyse du Patch Tuesday de Microsoft que son organisation dispose de preuves d'une faille exploitée connue dans la liste des correctifs de ce mois-ci.
Correctifs du Patch Tuesday à prioriser
Childs a souligné la vulnérabilité de gravité maximale dans le contournement de la fonctionnalité de sécurité de l'invite SmartScreen (CVE-2024-29988) avec un score CVSS de 8.8, qui a été découvert par ZDI mais n'a pas été répertorié comme exploité dans la mise à jour Patch Tuesday de Microsoft.
"Cependant, le bug signalé par le chasseur de menaces ZDI Peter Girrus a été trouvé dans la nature", a ajouté Childs. "Nous avons des preuves que cela est exploité dans la nature, et je le mentionne comme tel."
Un autre bug de gravité maximale affectant la vulnérabilité d'exécution de code à distance du runtime d'appel de procédure distante (CVE-2024-20678) a reçu un score CVSS de 8.8 et a été corrigé ce mois-ci par Microsoft.
Une vulnérabilité d'usurpation d'identité (CVE-2024-20670), répertorié comme gravité maximale avec un CVSS de base de 8.1, a été corrigé dans Outlook pour Windows. Et une exécution de code à distance du serveur DNS Windows, également répertoriée comme gravité maximale (CVE-2024-26221) avec un score CVSS de 7.2, a également été corrigé.
Microsoft SQL reçoit de nombreux correctifs
Les vulnérabilités de Microsoft SQL Server représentent une grande partie des correctifs du Patch Tuesday de ce mois-ci, selon Kev Breen, directeur principal de la recherche sur les menaces chez Immersive Labs.
"Bien qu'à première vue, il puisse sembler que Microsoft a signalé un grand nombre de vulnérabilités dans ses dernières notes, 40 d'entre elles sont toutes liées au même produit : Microsoft SQL Server", a déclaré Breen dans un communiqué. "Le principal problème concerne les clients utilisés pour se connecter à un serveur SQL, et non le serveur lui-même."
Breen a ensuite expliqué que tout cela nécessiterait une ingénierie sociale, ce qui rendrait les failles SQL difficiles à exploiter de manière utile.
"Toutes les vulnérabilités signalées suivent un modèle similaire : pour qu'un attaquant puisse exécuter du code, il doit convaincre un utilisateur authentifié au sein d'une organisation de se connecter à un serveur SQL distant contrôlé par l'attaquant", a ajouté Breen. "Bien que ce ne soit pas impossible, il est peu probable que cela soit exploité à grande échelle par des attaquants."
Les équipes de sécurité préoccupées par ce type d'attaques doivent rechercher toute activité anormale et bloquer les connexions sortantes, sauf vers les serveurs de confiance.
Invite Microsoft SmartScreen et failles de démarrage sécurisé
Narang de Tenable a noté le correctif de ce mois-ci pour le contournement de la fonctionnalité de sécurité SmartScreen Prompt (CVE-2024-29988), avec son score CVSS de 8.8, s'appuie également sur l'ingénierie sociale pour rendre l'exploitation possible. Un bug similaire de type Zero Day (CVE-2024-21412), découvert par les mêmes chercheurs, a été utilisé dans une campagne DarkGate se faisant passer pour des marques populaires comme Apple iTunes.
"Microsoft Defender SmartScreen est censé fournir des protections supplémentaires aux utilisateurs finaux contre le phishing et les sites Web malveillants", a déclaré Narang. "Cependant, comme leur nom l'indique, ces failles contournent ces fonctionnalités de sécurité, ce qui conduit les utilisateurs finaux à être infectés par des logiciels malveillants."
Narang a également suggéré aux équipes de sécurité de jeter un œil aux 24 correctifs de failles de démarrage sécurisé de Windows inclus dans la version du Patch Tuesday d'avril de Microsoft.
"La dernière fois que Microsoft a corrigé une faille dans Windows Secure Boot (CVE-2023-24932) en mai 2023 a eu un impact notable car il a été exploité dans la nature et lié au bootkit BlackLotus UEFI, vendu sur les forums du Dark Web pour 5,000 XNUMX $ », a-t-il déclaré.
Malware BlackLotus est capable de bloquer les protections de sécurité lors du démarrage.
"Bien qu'aucune de ces vulnérabilités de Secure Boot abordées ce mois-ci n'ait été exploitée dans la nature, elles rappellent que des failles dans Secure Boot persistent et que nous pourrions voir davantage d'activités malveillantes liées à Secure Boot à l'avenir", a souligné Narang.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-no-zero-days-but-one-under-active-exploit
