Accueil Patch Tuesday de Microsoft et vulnérabilités Secure Boot : l’analyse de Tenable

Patch Tuesday de Microsoft et vulnérabilités Secure Boot : l’analyse de Tenable

“Microsoft a corrigé 147 CVE ce mois-ci, le plus grand nombre de CVE corrigés en un mois depuis que nous avons commencé à suivre ces données en 2017. La dernière fois qu’il y a eu plus de 100 CVE patchés, c’était en octobre 2023, lorsque Microsoft avait corrigé 103 CVE. Cependant, le précédent record du nombre total de CVE corrigés en un mois a été atteint en juillet 2023, lorsque Microsoft avait corrigé 130 CVE.

L’année a été exceptionnellement calme en ce qui concerne les failles de sécurité. À la même époque l’année dernière, sept vulnérabilités de type “zero day” étaient exploitées dans la nature. En 2024, nous n’avons eu que deux failles exploitées, toutes deux datant de février. Il est difficile de déterminer les raisons de cette diminution, qu’il s’agisse d’un simple manque de visibilité ou d’une tendance à l’utilisation de vulnérabilités connues par les attaquants dans le cadre de leurs attaques contre les organisations.

Microsoft a corrigé une vulnérabilité de contournement de la fonction de sécurité SmartScreen Prompt ce mois-ci avec CVE-2024-29988, qui est attribuée à certains des mêmes chercheurs qui ont divulgué une faille similaire en février (CVE-2024-21412) qui a été exploitée en tant que zero-day. L’ingénierie sociale par des moyens directs (courriels et messages directs) qui nécessitent un certain type d’interaction avec l’utilisateur est une voie d’exploitation typique pour ce type de faille. La CVE-2024-21412 a été utilisée dans le cadre d’une campagne DarkGate qui s’appuyait sur de faux installateurs de logiciels se faisant passer pour iTunes d’Apple, Notion, NVIDIA et d’autres encore. Microsoft Defender SmartScreen est censé fournir des protections supplémentaires aux utilisateurs finaux contre le phishing et les sites web malveillants. Toutefois, comme son nom l’indique, ces failles contournent ces fonctions de sécurité, ce qui conduit les utilisateurs finaux à être infectés par des logiciels malveillants.

La version de ce mois-ci corrige 24 vulnérabilités dans Windows Secure Boot, la majorité d’entre elles étant considérées comme “moins susceptibles d’être exploitées” selon Microsoft. Toutefois, la dernière fois que Microsoft a corrigé une faille dans Windows Secure Boot (CVE-2023-24932) en mai 2023 cela a eu un impact notable : elle a été exploitée dans la nature et liée au bootkit BlackLotus UEFI qui a été vendu sur des forums du dark web pour 5 000 dollars. BlackLotus peut contourner la fonctionnalité appelée démarrage sécurisé, qui est conçue pour empêcher les logiciels malveillants de se charger lors du démarrage. Bien qu’aucune des vulnérabilités de Secure Boot traitées ce mois-ci n’ait été exploitée dans la nature, elles nous rappellent que les failles de Secure Boot persistent et que nous pourrions voir davantage d’activités malveillantes liées à Secure Boot à l’avenir”