Un Patch Tuesday plutôt important pour ce mois d’août

La nouvelle édition de ce Patch Tuesday du mois d’août 2024 publié par Microsoft nous offre, d’une certaine manière, une pause par rapport au torrent de correctifs du mois de juillet (138 CVE), avec seulement 85 CVE traitées dans cette version. Cependant, avec plus de deux douzaines d’avis, un certain nombre d’avis “informatifs” concernant les éléments publiés en juin et juillet, deux problèmes très médiatisés pour lesquels les correctifs sont toujours en cours de développement, et plus de 85 CVE liées à Linux couverts dans cette version, les administrateurs pourraient trouver la priorisation des correctifs particulièrement complexe ce mois-ci.

Au moment de la publication de ce Patch Tuesday, cinq des problèmes traités ce mois-ci sont connus pour être exploités sur le terrain. Trois autres problèmes ont été divulgués publiquement. Microsoft estime que 11 CVE, toutes sous Windows, sont, selon les estimations de l’entreprise, plus susceptibles d’être exploitées au cours des 30 prochains jours. Neuf des problèmes de ce mois-ci peuvent être détectés par les protections Sophos : nous inclurons des informations sur ces derniers dans le tableau ci-dessous.

En plus de ces correctifs, la version comprend des informations consultatives sur 12 correctifs d’Adobe, neuf pour Edge via Chrome (en plus de trois correctifs Edge/Microsoft) et la mise à jour régulière de la pile de maintenance (ADV990001). L’entreprise a également fourni des informations sur cinq CVE abordées plus tôt cet été mais non annoncées au cours de leurs mois respectifs (une en juin et quatre en juillet). Nous les listerons dans l’Annexe D ci-dessous ; ceux qui ont déjà installé les correctifs les mois précédents sont protégés et n’ont pas besoin de les installer de nouveau (il convient de noter qu’un problème corrigé en juin, CVE-2024-38213, fait l’objet d’attaques actives sur le terrain : une bonne raison donc pour installer les correctifs dès que possible après leur publication). Microsoft a également pris soin ce mois-ci de signaler trois autres CVE pour lesquelles des correctifs ont déjà été publiés, mais qui sont inclus dans les informations du Patch Tuesday de ce mois-ci par souci de transparence ; nous les listerons également à l’annexe D. Comme toujours, nous incluons à la fin de cet article des annexes supplémentaires répertoriant tous les correctifs de Microsoft, triés par gravité, par exploitation potentielle et par famille de produits.

Enfin, la version de ce mois-ci inclut une large cohorte de CVE liées à CBL-Mariner, ou dans certains cas à Mariner et Azure Linux (Mariner a été renommé Azure Linux plus tôt cette année, mais les informations fournies par Microsoft sur ces CVE font la différence entre les deux appellations). Les CVE couvrent une période allant de 2007 à 2024 ; les scores de base CVSS vont de 3,2 à 10.  Ces CVE ne sont pas incluses dans les données de la partie principale de cet article, mais nous avons répertorié les 84 CVE dans l’annexe E ci-dessous pour référence. Deux CVE Mariner/Azure Linux supplémentaires touchent également Windows, et ces deux-là sont incluses dans les chiffres mentionnés dans le corps de l’article ainsi que dans la liste de l’annexe E.

Les données mentionnées dans le corps de l’article reflètent uniquement les 85 CVE de la partie non-Mariner et non consultative de cette nouvelle édition.

Quelques chiffres

• Nombre total de CVE : 85
• Total des avis/problèmes Edge/Chrome traités dans la mise à jour : 9 (plus 3 problèmes Edge sans avis).
• Total des avis/problèmes Microsoft non-Edge traités dans la mise à jour : 9
• Nombre total des problèmes Adobe traités dans la mise à jour : 12
• Divulgation(s) publique(s) : 3
• Exploitation(s) : 5
• Gravité :
  • Critique : 6
  • Importante : 77
  • Modérée : 2
• Impact :
  • Élévation de privilèges : 32
  • Exécution de code à distance (RCE) : 31
  • Divulgation d’informations : 8
  • Déni de service : 6
  • Usurpation : 6
  • Contournement des fonctionnalités de sécurité : 2

Figure 1 : Les six vulnérabilités de gravité critique corrigées dans le Patch Tuesday de ce mois d’août comprennent la deuxième de cette année impliquant un contournement des fonctionnalités de sécurité (ce graphique ne traite pas les problèmes liés à Mariner abordés plus loin dans cet article).

Produits

• Windows : 62
• Azure : 7
• 365 Apps for Enterprise : 7
• Office : 7
• Edge : 3 (plus 9 avis via Chrome)
• .NET : 2
• Azure Linux : 2
• CBL-Mariner : 2
• Visual Studio : 2
• App Installer : 1
• Dynamics 365 : 1
• OfficePlus : 1
• Outlook : 1
• PowerPoint : 1
• Project : 1
• Teams : 1

Comme c’est notre habitude pour cette liste, les CVE qui s’appliquent à plusieurs familles de produit sont comptées une fois pour chaque famille concernée.

Figure 2 : De nombreuses familles de produit sont concernées par les correctifs de ce mois d’août ; au moins une, App Installer, est tellement compliquée à traiter que Microsoft a inclus un lien vers des informations à son sujet dans la version elle-même, notamment des conseils sur sa mise à jour via Winget.

Mises à jour majeures du mois d’août

Outre les questions évoquées ci-dessus, quelques éléments spécifiques méritent une attention particulière.

CVE-2024-21302 : Vulnérabilité d’élévation de privilèges dans Windows Secure Kernel Mode

CVE-2024-38202 : Vulnérabilité d’élévation de privilèges dans Windows Update Stack

Ces deux CVE de gravité importante ont été initiées par le chercheur Alon Leviev lors du dernier Black Hat après un long processus de divulgation responsable. Microsoft travaille sur une solution depuis six mois, mais il lui faut encore un peu plus de temps pour traiter ce problème complexe avec le VBS (Virtualization-Based Security). Pour l’instant, Microsoft publie des informations de mitigation pour CVE-2024-21302 et CVE-2024-38202 sur son site.

CVE-2024-38063 : Vulnérabilité d’exécution de code à distance dans Windows TCP/ IP

Il existe trois CVE dans cette version avec un score de base CVSS de 9,8, mais seule celle-ci a la particularité d’être également, selon Microsoft, plus susceptible d’être exploitée dans les 30 prochains jours. C’est regrettable, car ce bug RCE de gravité critique ne nécessite ni privilèges, ni interaction de l’utilisateur. Un attaquant pourrait exploiter ce problème en envoyant de manière répétée des paquets IPv6, dont certains d’entre eux auront été spécialement conçus, à une machine Windows sur laquelle IPv6 est activé (les machines sur lesquelles IPv6 est désactivé ne seront pas affectées par cette attaque). Sophos a publié des protections (Exp/2438063-A) pour ce problème, comme indiqué dans le tableau ci-dessous.

CVE-2024-38213 : Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows Mark of the Web

Ce problème est un des cinq mentionnés ci-dessus et corrigés il y a des mois déjà (dans ce cas, juin 2024). Ceux qui ont installé les correctifs sortis en juin sont protégés ; ceux qui n’ont pas installé les correctifs devraient le faire, car le problème est activement exploité lors d’attaques sur le terrain.

Déjà des correctifs [42 CVE] pour Windows 11 24H2

Même si Windows 11 24H2 n’est pas encore disponible dans sa version générale, un peu moins de la moitié des problèmes résolus ce mois-ci s’appliquent à ce système d’exploitation. Les utilisateurs des nouveaux PC Copilot+ qui n’ingèrent pas automatiquement leurs correctifs doivent s’assurer de bien mettre à jour leurs appareils ; dans ce cas ils doivent prendre tous les correctifs pertinents de la dernière mise à jour cumulative, qui permettront ainsi de mettre à niveau les appareils avec la version 26100.1457.

Figure 3 : Avec un total de 659 CVE traitées dans les différents Patch Tuesday jusqu’à présent en 2024, Microsoft est confronté à un volume beaucoup plus important qu’en 2023 à la même date (491 correctifs), mais un peu moins qu’en 2022 (690 correctifs). Notons que ce tableau n’inclut pas les 84 CVE publiées par Mariner et traitées plus loin dans cet article.

Les protections de Sophos

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs du mois d’août triés en fonction de l’impact, puis de la gravité. Chaque liste est ensuite organisée par CVE.

Élévation de privilèges (32 CVE)

Exécution de code à distance (31 CVE)

Divulgation d’informations (8 CVE)

Déni de service (6 CVE)

Usurpation (6 CVE)

Contournement des fonctionnalités de sécurité (2 CVE)

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois d’août, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday. Chaque liste est ensuite organisée par CVE. Ce tableau n’inclut pas CVE-2024-38213, publiée en juin.

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois d’août triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE. Les correctifs partagés entre plusieurs familles de produit sont répertoriés plusieurs fois, une fois pour chaque famille.

Windows (62 CVE)

Azure (7 CVE)

365 Apps for Enterprise (7 CVE)

Office (7 CVE)

Edge (3 CVE)

.NET (2 CVE)

Azure Linux (2 CVE)

CBL-Mariner (2 CVE)

Visual Studio (2 CVE)

App Installer (1 CVE)

Dynamics 365 (1 CVE)

OfficePlus (1 CVE)

Outlook (1 CVE)

PowerPoint (1 CVE)

Project (1 CVE)

Teams (1 CVE)

Annexe D : Avis et autres produits

Il s’agit d’une liste d’avis et d’informations concernant d’autres CVE pertinentes dans le Patch Tuesday du mois d’août de Microsoft, triés par produits.

Publications pertinentes pour Edge / Chromium (9 CVE)

Mises à jour de la pile de maintenance/Servicing Stack (1 élément)

Publication précédente ; Informations manquantes dans les données du dernier Patch Tuesday (5 CVE)

Publication précédente (Cloud); Informations fournies à titre consultatif uniquement (3 éléments)

Publications pertinentes pour Adobe (publication non-Microsoft) (12 CVE)

Annexe E : CVE pertinentes pour CBL-Mariner / Azure Linux

Les informations sur ces CVE, qui proviennent d’un assortiment de CNA, sont souvent de nature assez différente de celles fournies pour les CVE traitées dans le processus Patch Tuesday de Microsoft. Souvent, ces CVE n’ont pas de titre ou aucun score CVSS disponible. Pour ce tableau, nous avons choisi de simplement répertorier les CVE comme indiqué dans les informations récapitulatives de Microsoft.

Billet inspiré de August Patch Tuesday goes big, sur le Blog Sophos.