Montée en puissance sur le front des bulletins mensuels de sécurité pour Microsoft. Après un mois de janvier relativement contenu (49 failles corrigées), le Patch Tuesday de février prend de l’embonpoint avec 73 brèches colmatées. 5 sont considérées comme critiques, 65 comme importantes et 3 comme modérées. Les équipes IT devront en priorité s’occuper de deux failles zero day qui sont activement exploitées.

2 zero day à corriger en urgence

La première est la CVE-2024-21351, qui donne à un attaquant la capacité d'injecter du code dans SmartScreen et d'obtenir l'exécution du code, ce qui pourrait potentiellement conduire à une exposition des données, un manque de disponibilité du système, ou les deux. Pour que l’attaque de contournement des protections de SmartScreen, le cybercriminel doit envoyer à l’utilisateur un fichier malveillant et le convaincre de l’ouvrir.

L’autre est la CVE-2024-21412 et provoque un contournement de la fonctionnalité de sécurité (mark of the web) des fichiers de raccourcis Internet. « Un attaquant non authentifié pourrait envoyer à l'utilisateur ciblé un fichier spécialement conçu pour contourner les contrôles de sécurité affichés », précise la firme de Redmond. Elle ajoute comme dans l’autre zero day que le cybercriminel doit envoyer à l’utilisateur un fichier malveillant et le convaincre de l’ouvrir. Peter Girnus (gothburz) de la Zero Day Initiative de Trend Micro, qui a découvert la faille, a publié un rapport sur la manière dont elle a été activement exploitée par le groupe APT DarkCasino (Water Hydra) dans le cadre d'une campagne ciblant les traders financiers. Microsoft affirme que d'autres chercheurs ont découvert la faille indépendamment, notamment dwbzn d'Aura Information Security et Dima Lenz et Vlad Stolyarov du Threat Analysis Group de Google.

Exchange Server touché et une très vieille faille dans DNSSEC comblée

En dehors des deux failles zero day, les administrateurs systèmes auront une vigilance particulière pour les 5 failles critiques référencées par le Patch Tuesday. C’est le cas notamment de la CVE-2024-21410 affichant un score de sévérité de 9.8. La brèche entraîne une élévation de privilège dans Exchange Server. L'exploitation de cette vulnérabilité pourrait entraîner la divulgation du hachage Net-New Technology LAN Manager (NTLM) version 2 d'un utilisateur ciblé, qui pourrait être retransmis à un serveur Exchange vulnérable dans le cadre d'un relais NTLM ou d'une attaque de type « pass-the-hash ». L’attaquant pourrait alors s’authentifier en tant que l’utilisateur ciblé.

Enfin, La mise à jour de sécurité résout également 15 failles RCE dans le fournisseur Microsoft WDAC OLE DB pour SQL Server qu'un attaquant pourrait exploiter en trompant un utilisateur authentifié pour tenter de se connecter à un serveur SQL malveillant via OLEDB. Le patch est complété par un correctif pour CVE-2023-50387 (score CVSS : 7.5), un défaut de conception vieux de 24 ans dans la spécification DNSSEC qui peut être exploité pour épuiser les ressources du processeur et bloquer les résolveurs DNS, ce qui entraîne un déni de service (DoS). La vulnérabilité a été baptisée KeyTrap par le Centre national de recherche en cybersécurité appliquée (ATHENE) de Darmstadt. « Les chercheurs ont démontré qu'avec un seul paquet DNS, l'attaque peut épuiser le processeur et bloquer toutes les implémentations DNS largement utilisées et les fournisseurs DNS publics, tels que Google Public DNS et Cloudflare », ont déclaré les chercheurs.