Après 117 failles corrigées dans son patch tuesday d’octobre, Microsoft poursuit sur sa lancée ce mois-ci avec une salve de 91 vulnérabilités comblées. Parmi les failes bénéficiant de correctifs publiés ce mardi, deux sont activement exploitées. « Cela représente un autre mois important de correctifs de la part du géant de Redmond et porte à 949 le nombre de CVE traités depuis le début de l’année », a expliqué la Zero Day Initiative (ZDI). « Avant même de compter les correctifs de décembre, 2024 est la deuxième année la plus riche en correctifs pour Microsoft. »

Parmi les deux failles exploitées on trouve la CVE-2024-43451 de type spoofing qui révèle le hash NTLMv2 d’un utilisateur Windows qu’un attaquant peut utiliser pour s’authentifier sur un système en employant une technique appelée pass-the-hash. « À ma connaissance, c’est la troisième vulnérabilité de ce type exploitée dans la nature en 2024 capable de divulguer le hash NTLMv2 d’un utilisateur », a expliqué Satnam Narang, ingénieur de recherche senior chez Tenable. «  Bien que nous n’ayons pas de détails sur l’exploitation de la CVE-2024-43451 en conditions réelles, une chose est certaine : les attaquants persistent à découvrir et exploiter des vulnérabilités zero-day susceptibles de divulguer des hashes NTLMv2, car ceux-ci permettent de s’authentifier sur des systèmes et de se déplacer latéralement au sein d’un réseau pour accéder à d’autres systèmes. » Le second exploit, CVE-2024-49039, concerne le planificateur de tâches de Windows et nécessite qu’un attaquant authentifié sur un système vulnérable ouvre à distance une application malveillante. « Une fois exploitée, elle permet à l’attaquant d’élever ses privilèges, d’accéder à des ressources autrement inaccessibles, et d’exécuter du code, comme des fonctions d’appel de procédure à distance », prévient Satnam Narang.

Des privilèges root Azure CycleCoud à portée des pirates 

Parmi les autres failles patchées ce mois-ci, on trouve les zero-day CVE-2024-49019 (élévation de privilèges dans les services de certificats Active Directory) et la CVE-2024-49040 (spoofing dans Microsoft Exchange Server.) A signaler également les failles critiques CVE-2024-43639 (RCE affectant Kerberos), CVE-2024-43625 (élévation de privilèges dans VMSwitch) et une autre importante au score CVSS 9.9, la CVE-2024-43602, une RCE touchant CycleCloud servant à gérer et orchestrer les environnements de calcul haute performance dans Azure. « Un utilisateur ayant les autorisations les plus basiques pourrait exploiter la CVE-2024-43602 pour obtenir des privilèges de niveau root. L’exploitation était aussi simple que l’envoi d’une requête à un cluster vulnérable d’Azure CycleCloud pour en modifier la configuration », a prévenu Satnam Narang.