Dans le cadre de la dernière publication du Patch Tuesday de Microsoft, Satnam Narang, Senior Staff Research Engineer chez Tenable partage son analyse sur la résolution de deux vulnérabilités zero day importantes touchant la bibliothèques DWMCore et le moteur MSHTML de Windows.
“La version de mai 2024 du Patch Tuesday de Microsoft comprend 59 CVE, une nette diminution par rapport aux 147 CVE du mois dernier qui étaient les plus nombreuses dans l’histoire du Patch Tuesday. Ce mois-ci, Microsoft a corrigé deux vulnérabilités de type zero day exploitées dans la nature – CVE-2024-30051, une faille d’élévation de privilèges dans la bibliothèque DWM Core de Microsoft Windows et CVE-2024-30040, un contournement de la fonctionnalité de sécurité dans le moteur MSHTML (Trident) de Microsoft Windows.
CVE-2024-30051 est exploitée dans le cadre d’une activité post-compromission afin d’élever les privilèges en tant qu’attaquant local, pour obtenir un accès initial à un environnement cible. Elle nécessite l’utilisation de tactiques d’ingénierie sociale par le biais de mails, réseaux sociaux ou messageries instantanées pour convaincre une cible d’ouvrir un fichier spécialement conçu. L’attaquant peut ensuite contourner les atténuations OLE dans Microsoft 365 et Microsoft Office, conçues pour protéger les utilisateurs finaux contre les fichiers malveillants.
CVE-2024-30051 est le deuxième zero day de la bibliothèque DWM Core exploité in the wild au cours des six derniers mois au moins. Microsoft a corrigé CVE-2023-36033 en novembre 2023. Aucun détail n’est pour l’instant disponible sur ces deux failles, mais il est possible que leur exploitation soit liée au même acteur malveillant, par la découverte d’une autre faille d’élévation de privilèges dans la même bibliothèque. CVE-2024-30051 pourrait être le résultat d’un contournement de correctif incomplet pour CVE-2023-36033.
CVE-2024-30040 est la première vulnérabilité de MSHTML divulguée en 2024. Elle a été précédée par huit vulnérabilités MSHTML, corrigées de février à décembre 2023. Parmi ces dernières, CVE-2023-32046, une vulnérabilité d’élévation de privilèges, a été la seule exploitée in the wild en tant que zero day et corrigée en juillet 2023.
La vulnérabilité SharePoint (CVE-2024-30044) est la seule classée comme “critique” ce mois-ci. Bien qu’elle soit également considérée comme l’une des vulnérabilités les plus susceptibles d’être exploitées, cela nécessite qu’un attaquant soit d’abord authentifié sur un serveur SharePoint vulnérable avec les permissions de propriétaire de site (ou plus) et qu’il prenne des mesures supplémentaires afin d’exploiter cette faille, ce qui la rend moins susceptible d’être largement exploitée car la plupart prennent le chemin de la facilité.”
