L’ édition de novembre 2024 du Patch Tuesday nous apporte 88 nouveaux correctifs, dont 4 classés comme critiques et 2 exploités. Nous avons répertorié les changements les plus importants ci-dessous.
Vulnérabilité d’élévation des privilèges du planificateur de tâches Windows
La vulnérabilité la plus critique ce mois-ci est CVE-2024-49039 . Cette vulnérabilité est déjà activement exploitée et a un score de base CVSS 3.1 de 8,8. Si elle est exploitée avec succès, l’attaquant pourrait augmenter ses privilèges pour exécuter du code ou accéder à des ressources avec un niveau d’intégrité supérieur à celui de l’environnement d’exécution d’AppContainer.
Concernant la manière dont l’exploitation se produirait, Microsoft énumère les éléments suivants :
Pour exploiter cette vulnérabilité, un attaquant authentifié devrait exécuter une application spécialement conçue sur le système cible afin d’exploiter la vulnérabilité pour élever ses privilèges à un niveau d’intégrité moyen.
Vulnérabilité d’usurpation de divulgation de hachage NTLM
La deuxième vulnérabilité activement exploitée ce mois-ci est la CVE-2024-43451 . Cette vulnérabilité, dont le score de base CVSS est légèrement inférieur à 6,5, expose le hachage NTLMv2 d’un utilisateur à un attaquant, lui permettant ainsi de s’authentifier en tant qu’utilisateur.
L’exploitation peut être déclenchée par une interaction minimale de l’utilisateur avec un fichier malveillant, comme la sélection (clic simple), l’inspection (clic droit) ou l’exécution de toute action autre que l’ouverture ou l’exécution du fichier.
De plus, Microsoft a publié des correctifs Internet Explorer pour Windows Server 2008, Windows Server 2008 R2 et Windows Server 2012 R2 avec les notes suivantes :
Bien que Microsoft ait annoncé le retrait de l’application Internet Explorer 11 sur certaines plateformes et que l’application Microsoft Edge Legacy soit obsolète, les plateformes MSHTML, EdgeHTML et de script sous-jacentes sont toujours prises en charge. La plateforme MSHTML est utilisée par le mode Internet Explorer dans Microsoft Edge ainsi que par d’autres applications via le contrôle WebBrowser. La plateforme EdgeHTML est utilisée par WebView et certaines applications UWP. Les plateformes de script sont utilisées par MSHTML et EdgeHTML, mais peuvent également être utilisées par d’autres applications héritées. Les mises à jour visant à corriger les vulnérabilités de la plateforme MSHTML et du moteur de script sont incluses dans les mises à jour cumulatives d’IE ; les modifications apportées à EdgeHTML et à Chakra ne s’appliquent pas à ces plateformes.
Pour rester entièrement protégé, nous recommandons aux clients qui installent les mises à jour de sécurité uniquement d’installer les mises à jour cumulatives d’IE pour cette vulnérabilité.
Vulnérabilité d’élévation des privilèges des services de certificats Active Directory
Le dernier point fort de ce mois est la vulnérabilité CVE-2024-49019 . Cette vulnérabilité n’a pas encore été activement exploitée, mais Microsoft la considère comme « plus susceptible » d’être exploitée. La principale préoccupation concernant cette vulnérabilité est que, si elle est exploitée, un attaquant qui réussit à exploiter cette vulnérabilité peut obtenir des privilèges d’administrateur de domaine.
Microsoft fournit certaines informations sur la manière dont vous pouvez vérifier si l’un de vos certificats est affecté :
Comment savoir si mon environnement PKI est vulnérable à ce type d’attaque ?
Vérifiez si vous avez publié des certificats créés à l’aide d’un modèle de certificat de version 1 où la source du nom du sujet est définie sur « Fourni dans la demande » et les autorisations d’inscription sont accordées à un ensemble plus large de comptes, tels que les utilisateurs ou les ordinateurs du domaine. Le modèle de serveur Web intégré en est un exemple , mais il n’est pas vulnérable par défaut en raison de ses autorisations d’inscription restreintes .
Quels types de certificats sont vulnérables à ce type d’attaque ?
Les certificats créés à l’aide d’un modèle de certificat de version 1 avec la source du nom du sujet définie sur « Fourni dans la demande » sont potentiellement vulnérables si le modèle n’est pas sécurisé conformément aux meilleures pratiques publiées dans la section Sécurisation des modèles de certificats de Sécurisation de PKI : Contrôles techniques pour la sécurisation de PKI | Microsoft Learn .
Codes et titres CVE du Patch Tuesday de novembre 2024
| Numéro CVE | Titre CVE |
| CVE-2024-5535 | OpenSSL : CVE-2024-5535 : dépassement de mémoire tampon SSL_select_next_proto |
| CVE-2024-49056 | Vulnérabilité d’élévation de privilèges sur Airlift.microsoft.com |
| CVE-2024-49051 | Vulnérabilité d’élévation des privilèges de Microsoft PC Manager |
| CVE-2024-49050 | Vulnérabilité d’exécution de code à distance de l’extension Python de Visual Studio Code |
| CVE-2024-49049 | Vulnérabilité d’élévation de privilèges dans l’extension à distance de Visual Studio Code |
| CVE-2024-49048 | Vulnérabilité d’exécution de code à distance de TorchGeo |
| CVE-2024-49046 | Vulnérabilité d’élévation des privilèges du sous-système du noyau Windows Win32 |
| CVE-2024-49044 | Vulnérabilité d’élévation de privilèges dans Visual Studio |
| CVE-2024-49043 | Vulnérabilité d’exécution de code à distance Microsoft.SqlServer.XEvent.Configuration.dll |
| CVE-2024-49040 | Vulnérabilité d’usurpation d’identité du serveur Microsoft Exchange |
| CVE-2024-49039 | Vulnérabilité d’élévation des privilèges du planificateur de tâches Windows |
| CVE-2024-49033 | Vulnérabilité de contournement de la fonctionnalité de sécurité de Microsoft Word |
| CVE-2024-49032 | Vulnérabilité d’exécution de code à distance dans Microsoft Office Graphics |
| CVE-2024-49031 | Vulnérabilité d’exécution de code à distance dans Microsoft Office Graphics |
| CVE-2024-49030 | Vulnérabilité d’exécution de code à distance dans Microsoft Excel |
| CVE-2024-49029 | Vulnérabilité d’exécution de code à distance dans Microsoft Excel |
| CVE-2024-49028 | Vulnérabilité d’exécution de code à distance dans Microsoft Excel |
| CVE-2024-49027 | Vulnérabilité d’exécution de code à distance dans Microsoft Excel |
| CVE-2024-49026 | Vulnérabilité d’exécution de code à distance dans Microsoft Excel |
| CVE-2024-49021 | Vulnérabilité d’exécution de code à distance dans Microsoft SQL Server |
| CVE-2024-49019 | Vulnérabilité d’élévation des privilèges des services de certificats Active Directory |
| CVE-2024-49018 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49017 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49016 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49015 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49014 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49013 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49012 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49011 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49010 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49009 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49008 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49007 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49006 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49005 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49004 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49003 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49002 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49001 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-49000 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-48999 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-48998 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-48997 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-48996 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-48995 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-48994 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-48993 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-43646 | Vulnérabilité d’élévation des privilèges du mode noyau sécurisé de Windows |
| CVE-2024-43645 | Vulnérabilité de contournement de la fonctionnalité de sécurité Windows Defender Application Control (WDAC) |
| CVE-2024-43644 | Vulnérabilité d’élévation des privilèges de la mise en cache côté client Windows |
| CVE-2024-43643 | Vulnérabilité d’élévation des privilèges du pilote système de classe vidéo USB Windows |
| CVE-2024-43642 | Vulnérabilité de déni de service SMB de Windows |
| CVE-2024-43641 | Vulnérabilité d’élévation des privilèges du registre Windows |
| CVE-2024-43640 | Vulnérabilité d’élévation des privilèges du pilote en mode noyau Windows |
| CVE-2024-43639 | Vulnérabilité d’exécution de code à distance Kerberos dans Windows |
| CVE-2024-43638 | Vulnérabilité d’élévation des privilèges du pilote système de classe vidéo USB Windows |
| CVE-2024-43637 | Vulnérabilité d’élévation des privilèges du pilote système de classe vidéo USB Windows |
| CVE-2024-43636 | Vulnérabilité d’élévation de privilèges Win32k |
| CVE-2024-43635 | Vulnérabilité d’exécution de code à distance du service de téléphonie Windows |
| CVE-2024-43634 | Vulnérabilité d’élévation des privilèges du pilote système de classe vidéo USB Windows |
| CVE-2024-43633 | Vulnérabilité de déni de service de Windows Hyper-V |
| CVE-2024-43631 | Vulnérabilité d’élévation des privilèges du mode noyau sécurisé de Windows |
| CVE-2024-43630 | Vulnérabilité d’élévation des privilèges du noyau Windows |
| CVE-2024-43629 | Vulnérabilité d’élévation des privilèges de la bibliothèque principale Windows DWM |
| CVE-2024-43628 | Vulnérabilité d’exécution de code à distance du service de téléphonie Windows |
| CVE-2024-43627 | Vulnérabilité d’exécution de code à distance du service de téléphonie Windows |
| CVE-2024-43626 | Vulnérabilité d’élévation des privilèges du service de téléphonie Windows |
| CVE-2024-43625 | Vulnérabilité d’élévation des privilèges de Microsoft Windows VMSwitch |
| CVE-2024-43624 | Vulnérabilité d’élévation des privilèges du disque virtuel partagé Windows Hyper-V |
| CVE-2024-43623 | Vulnérabilité d’élévation des privilèges du noyau du système d’exploitation Windows NT |
| CVE-2024-43622 | Vulnérabilité d’exécution de code à distance du service de téléphonie Windows |
| CVE-2024-43621 | Vulnérabilité d’exécution de code à distance du service de téléphonie Windows |
| CVE-2024-43620 | Vulnérabilité d’exécution de code à distance du service de téléphonie Windows |
| CVE-2024-43602 | Vulnérabilité d’exécution de code à distance dans Azure CycleCloud |
| CVE-2024-43598 | Vulnérabilité d’exécution de code à distance LightGBM |
| CVE-2024-43530 | Vulnérabilité d’élévation des privilèges de la pile de mises à jour Windows |
| CVE-2024-43499 | Vulnérabilité de déni de service dans .NET et Visual Studio |
| CVE-2024-43498 | Vulnérabilité d’exécution de code à distance dans .NET et Visual Studio |
| CVE-2024-43462 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-43459 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-43452 | Vulnérabilité d’élévation des privilèges du registre Windows |
| CVE-2024-43451 | Vulnérabilité d’usurpation de divulgation de hachage NTLM |
| CVE-2024-43450 | Vulnérabilité d’usurpation DNS Windows |
| CVE-2024-43449 | Vulnérabilité d’élévation des privilèges du pilote système de classe vidéo USB Windows |
| CVE-2024-43447 | Vulnérabilité d’exécution de code à distance du serveur Windows SMBv3 |
| CVE-2024-38264 | Vulnérabilité de déni de service du disque dur virtuel Microsoft (VHDX) |
| CVE-2024-38255 | Vulnérabilité d’exécution de code à distance du client natif SQL Server |
| CVE-2024-38203 | Vulnérabilité de divulgation d’informations du gestionnaire de bibliothèques de packages Windows |
Commentaires récents