Après un Patch Tuesday calme en mars avec seulement 64 failles corrigées, celui d'avril est beaucoup plus fourni. Microsoft a ainsi comblé pas moins de 149 vulnérabilités dont 142 considérées comme importantes et trois critiques. "Pour autant que je sache, il s'agit de la plus importante version du Patch Tuesday de Microsoft de tous les temps", indique d'ailleurs à ce sujet le chercheur en sécurité Dustin Childs de la Zero Day Initiative. "Il est difficile de savoir si cela est dû à un retard accumulé au cours des mois les plus calmes ou à une augmentation du nombre de rapports de vulnérabilité. Il sera intéressant de voir quelle tendance se confirme". Parmi les produits et environnements Microsoft concernés, on trouve notamment Windows, Office et leurs composants, Azure, le framework .NET, Visual Studio, SQL Server, DNS Server, Defender, Bitlocker et Secure Boot. Ce Patch Tuesday résoud notamment 68 problèmes d'exécution de code à distance, 31 d'élévation de privilèges, 26 de contournement des fonctions de sécurité dont 24 liées à Secure Boot. "Bien qu'aucune des vulnérabilités de Secure Boot traitées ce mois-ci n'ait été exploitée activement, elles nous rappellent que ces failles persistent et que nous pourrions voir davantage d'activités malveillantes liées à Secure Boot à l'avenir", explique Satnam Narang, ingénieur de recherche senior chez Tenable.

Parmi les failles corrigées, deux font l'objet d'une exploitation soutenue à savoir la CVE-2024-26234 (score CVSS 6.7) découverte par Andreas Klopsch chercheur en sécurité de Sophos, ainsi que la CVE-2024-29988 (score CVSS 8.8). Cette dernière a été rapportée à la firme de Redmond par trois autres experts en cybersécurité : Peter Girnus (Zero Day Initiative), Dmitrij Lenz (Trend Micro) et Vlad Stolyarov (Google Threat Analysis Group). Les trois trous de sécurité critiques comblés sont relatifs à de l'exécution de code distant dans Microsoft Defender IoT et ont été identifiés en tant que CVE-2024-21322 (score CVSS 7.2), ainsi que CVE-2024-21323 et CVE-2024-29053 (score CVSS 8.8). 

Zoom sur les CVE-2024-26234 et 2024-29988

La CVE-2024-26234 est de type usurpation de pilote de proxy (proxy driver spoofing vulnerability) identifiée en décembre 2023 dans un programme malveillant signé par un certificat WHCP (windows hardware compatibility publisher) valide de Microsoft. "Nous avons découvert que le fichier était précédemment intégré à un fichier d'installation pour un produit appelé LaiXi Android Screen Mirroring", explique Andreas Klopsch. Ce logiciel de marketing mobile propose de pousser du contenu sur différentes applications (Facebook, Instagram, TikTok,...). "Nous ne disposons d'aucune preuve suggérant que les développeurs de LaiXi ont délibérément intégré le fichier malveillant dans leur produit, ou qu'un acteur de la menace a mené une attaque par supply chain pour l'insérer dans le processus de compilation/construction de l'application LaiXi", prévient cependant le chercheur en sécurité de Sophos.

De son côté la CVE-2024-29988 (considérée comme importante) peut déboucher sur le contournement de la fonctionnalité de sécurité dans SmartScreen. "Le bug lui-même agit de la même manière que CVE-2024-21412 - il contourne la fonction Mark of the Web (MotW) et permet aux logiciels malveillants de s'exécuter sur un système cible. Les acteurs malveillants envoient des exploits dans un fichier zippé pour échapper à la détection EDR/NDR et utilisent ensuite ce bug (et d'autres) pour contourner la fonction MotW", explique Dustin Childs. 

Vigilance sur Azure Kubernetes Service Confidential Container

Parmi les autres failles à corriger dès que possible, on retiendra la CVE-2024-29990 ouvrant la voie à de l'élévation de privilèges dans Azure Kubernetes Service Confidential Container (AKSCC). "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait voler des informations d’identification et affecter des ressources situées en dehors de l’étendue de sécurité gérée par le service AKSCC", a prévenu Microsoft. Le score CVSS est de 9.0 et mérite donc toute l'attention des administrateurs systèmes.