Microsoft fixe plus de 72 failles

[Omnous_Luminae]

Microsoft a clôturé ses mises à jour Patch Tuesday pour 2024 en corrigeant un total de 72 failles de sécurité couvrant son portefeuille logiciel, dont une exploitée activement.
Parmi ces 72 failles, 17 sont classées comme critiques, 54 comme importantes et une comme modérée en termes de gravité. Trente-et-une des vulnérabilités permettent une exécution de code à distance, tandis que 27 permettent une élévation de privilèges.
À cela s’ajoutent 13 vulnérabilités corrigées dans le navigateur Edge basé sur Chromium depuis la mise à jour de sécurité du mois dernier. En tout, Microsoft a résolu pas moins de 1 088 vulnérabilités en 2024, selon Fortra.
Failles activement exploitéesLa faille que Microsoft a reconnue comme exploitée activement est CVE-2024-49138 (score CVSS : 7,8), une faille d'élévation de privilèges dans le pilote Windows Common Log File System (CLFS).
"Un attaquant ayant exploité cette vulnérabilité avec succès pourrait obtenir des privilèges SYSTEM", indique Microsoft dans un avis, en remerciant l’entreprise de cybersécurité CrowdStrike pour avoir découvert et signalé la faille.
CVE-2024-49138 est la cinquième faille d’élévation de privilèges dans CLFS exploitée depuis 2022, après CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, et CVE-2023-28252 (score CVSS : 7,8). Cette faille est également la neuvième dans ce composant à être corrigée cette année.
Satnam Narang, ingénieur chercheur senior chez Tenable, a déclaré :
"Bien que les détails de l'exploitation ne soient pas encore connus, il est intéressant de noter que les opérateurs de ransomware ont développé un intérêt marqué pour les failles CLFS ces dernières années. Ces vulnérabilités leur permettent de se déplacer dans les réseaux pour voler et chiffrer des données."
Microsoft a annoncé travailler sur un nouveau processus de vérification des fichiers CLFS afin de détecter les modifications non autorisées, utilisant des codes d’authentification basés sur des hachages (HMAC).
Autres vulnérabilités majeuresLa faille la plus critique de ce mois est une vulnérabilité d’exécution de code à distance affectant Windows Lightweight Directory Access Protocol (LDAP), identifiée comme CVE-2024-49112 (score CVSS : 9,8).
"Un attaquant non authentifié pourrait exploiter cette faille via des appels LDAP spécialement conçus pour exécuter du code arbitraire dans le contexte du service LDAP", selon Microsoft.
Parmi les autres failles notables :

• CVE-2024-49117 (Hyper-V, score CVSS : 8,8)
  
• CVE-2024-49105 (Client Remote Desktop, score CVSS : 8,4)
  
• CVE-2024-49063 (Microsoft Muzic, score CVSS : 8,4).
  

Annonces et mesures liées à NTLMMicrosoft a récemment mis à jour des protocoles pour atténuer les risques liés à NTLM, cible de nombreuses attaques (relay et pass-the-hash). L’entreprise prévoit d’abandonner NTLM au profit de Kerberos et a activé par défaut la Protection Étendue pour l'Authentification (EPA) pour Exchange 2019, Active Directory Certificate Services (AD CS), et LDAP.
Avec la sortie de Windows Server 2025, NTLM v1 sera supprimé et NTLM v2 déprécié. De plus, les services LDAP activeront par défaut la liaison de canal.
Correctifs d’autres éditeursPar ailleurs, de nombreux autres éditeurs ont publié des mises à jour de sécurité, notamment :

• Adobe
  
• Google (Chrome, Android, Pixel)
  
• Mozilla (Firefox, Thunderbird)
  
• Linux (Debian, Ubuntu, Red Hat, etc.)
  
• Intel, NVIDIA, Dell, Cisco, SAP, VMware, Fortinet, et bien d’autres.
  

Ces efforts collectifs témoignent de l’importance croissante des correctifs réguliers pour protéger les utilisateurs contre les menaces en constante évolution.

Sources :
https://thehackernews.com/2024/12/micros...uding.html
https://hackread.com/microsoft-september...ws-update/
https://www.securityweek.com/microsoft-s...-zero-day/

[EnZ0]

1.088 vulnérabilités corrigées cette année, ça montre à quel point la gestion des failles reste une course permanente. Ce qui ressort surtout, c'est le focus sur les failles CLFS. Pour info, CLFS (Common Log File System) est un composant de Windows utilisé pour gérer les fichiers journaux système. Il semble particulièrement prisé par les groupes de ransomware, car ces failles permettent souvent une élévation de privilèges, c’est-à-dire d’obtenir des droits d’administrateur sur une machine.

Le passage progressif de NTLM à Kerberos, c’est une évolution attendue depuis longtemps. NTLM (NT LAN Manager, pour information) est un ancien protocole d'authentification utilisé par Windows, mais il est souvent vulnérable à des attaques comme le pass-the-hash ou relay attacks, où les pirates interceptent les identifiants pour accéder au réseau. À l’inverse, Kerberos est un protocole d’authentification plus moderne et sécurisé, qui utilise des "tickets" temporaires pour permettre l'accès aux ressources, ce qui le rend bien plus difficile à compromettre.

C’est clair que NTLM traîne un historique lourd de faiblesses, mais il faudra voir comment les entreprises s'adaptent, surtout celles qui ont encore des systèmes anciens. Ça pose aussi la question des migrations et de l’adoption de nouvelles pratiques par les admins.

En parlant de l’impact pratique : la faille LDAP (9,8 CVSS quand même ! CVSS expliqué plus bas) est un exemple typique des risques d'exposition si un serveur n'est pas configuré correctement. Pour ceux qui ne le savent pas, LDAP (Lightweight Directory Access Protocol) est un protocole utilisé pour gérer et accéder aux informations stockées dans un annuaire, comme Active Directory par exemple (qui sera étudié largement en cours). Une vulnérabilité sur LDAP pourrait permettre à un attaquant de compromettre totalement un réseau en accédant aux informations sensibles, voire en exécutant du code malveillant.

Les mises à jour sont cruciales, mais ça rappelle aussi l'importance de renforcer la sécurité à la base (pare-feu, segmentation réseau, etc.). Petite réflexion : est-ce que ces correctifs massifs n’indiquent pas aussi une pression pour sortir des produits plus sûrs dès le départ ? La gestion post-lancement a ses limites, surtout avec la montée des attaques zero-day... hein M$ !
 

---

NB : CVSS signifie Common Vulnerability Scoring System. C'est un système standardisé utilisé pour évaluer la gravité des vulnérabilités de sécurité informatique. Il attribue une note sur une échelle de 0 à 10, où :

• 0 : Insignifiante, pas de risque.
  
• 10 : Extrêmement critique.
  

Si on reprend alors le score 9,8 CVSS pour la vulnérabilité LDAP mentionnée dans l'article signifie qu’elle est classée comme critique. Les vulnérabilités dans cette plage (généralement 9,0 à 10) sont souvent faciles à exploiter et ont un impact sévère, comme permettre à un attaquant non authentifié de prendre le contrôle complet du système.

Dans ce cas précis, un attaquant pourrait exploiter cette faille en envoyant des requêtes LDAP malveillantes pour exécuter du code arbitraire, ce qui met potentiellement tout un réseau en danger. C’est pourquoi cette note est un signal d’alarme pour les administrateurs.