Microsoft vient de dévoiler son Patch Tuesday et a annoncé avoir corrigé quatre vulnérabilités de type zero-day, dont deux exploitées activement. Une faille d’exécution de code à distance dans Azure CycleCloud de Microsoft est la plus critique. Que faut-il en penser ? Les commentaires de Satnam Narang, ingénieur de recherche senior chez Tenable, un spécialiste de gestion de l’exposition au cyber-risque.
La vulnérabilité CVE-2024-43451 est une faille de falsification affectant toutes les versions de Microsoft Windows prises en charge et ayant été exploitée dans la nature. Lorsqu’elle est exploitée, elle révèle le hash NTLMv2 de l’utilisateur, qu’un attaquant peut utiliser pour s’authentifier sur un système en employant une technique appelée “pass-the-hash”. À ma connaissance, c’est la troisième vulnérabilité de ce type exploitée dans la nature en 2024 capable de divulguer le hash NTLMv2 d’un utilisateur. En février, Microsoft a corrigé la CVE-2024-21410 dans Microsoft Exchange Server et la CVE-2024-38021 dans Microsoft Office en juillet. Ces failles étaient d’une gravité supérieure (selon les scores CVSS) par rapport à la CVE-2024-43451. Bien que nous n’ayons pas de détails sur l’exploitation de la CVE-2024-43451 en conditions réelles, une chose est certaine : les attaquants persistent à découvrir et exploiter des vulnérabilités zero-day susceptibles de divulguer des hashes NTLMv2, car ceux-ci permettent de s’authentifier sur des systèmes et de se déplacer latéralement au sein d’un réseau pour accéder à d’autres systèmes.
La vulnérabilité CVE-2024-49039 concerne le Planificateur de tâches de Windows. Cette faille n’est exploitable que lorsqu’un attaquant authentifié sur un système vulnérable ouvre une application malveillante. Une fois exploitée, elle permet à l’attaquant d’élever ses privilèges, d’accéder à des ressources autrement inaccessibles, et d’exécuter du code, comme des fonctions d’appel de procédure à distance (RPC). Lorsqu’une élévation de privilèges zero-day exploitée en conditions réelles est détectée, je conclus souvent qu’il s’agit probablement d’une attaque ciblée. Encore une fois, nous n’avons que peu d’informations sur l’exploitation de cette faille dans la nature, mais nous savons que cette faille a été attribuée à plusieurs individus, dont des membres du Threat Analysis Group (TAG) de Google. Sur cette base, nous pouvons en déduire qu’il existe une certaine activité alignée avec des menaces persistantes avancées (APT) ou des États-nations liée à l’exploitation de cette faille.
Deux autres vulnérabilités zero-day ont été corrigées ce mois-ci : la CVE-2024-49019, une faille d’élévation de privilèges dans les Services de certificats Active Directory (AD CS), et la CVE-2024-49040, une vulnérabilité de falsification dans Microsoft Exchange Server. La CVE-2024-49019 est considérée comme étant plus susceptible d’être exploitée et est liée à une configuration trop permissive des modèles de certificat de version 1. Nous avons peu d’informations sur la CVE-2024-49040, mais nous savons qu’il existe un potentiel d’attaques de falsification contre Microsoft Exchange Server en raison de l’implémentation de la vérification des en-têtes d’e-mail P2 FROM.
La vulnérabilité la plus critique de cette mise à jour est la CVE-2024-43602, une faille d’exécution de code à distance dans Azure CycleCloud de Microsoft, un outil qui aide à gérer et orchestrer les environnements de calcul haute performance (HPC) dans Azure. Un utilisateur ayant les autorisations les plus basiques pourrait exploiter la CVE-2024-43602 pour obtenir des privilèges de niveau root. L’exploitation était aussi simple que l’envoi d’une requête à un cluster vulnérable d’Azure CycleCloud pour en modifier la configuration. À mesure que les organisations continuent de basculer vers l’utilisation des ressources cloud, la surface d’attaque s’étend en conséquence. Il est donc crucial de pouvoir comprendre à quoi ressemble cette surface d’attaque, et l’attribution de CVE aux vulnérabilités cloud est extrêmement précieuse.
