Dans le cadre du Patch Tuesday de ce mois de novembre, Microsoft corrige 89 vulnérabilités de sécurité. Parmi celles-ci, deux vulnérabilités 0-day font l’objet d’une exploitation active dans des attaques. Il s’agit des vulnérabilités CVE-2024-49039 et CVE-2024-43451.
CVE-2024-49039 est une vulnérabilité de type élévation de privilèges dans le planificateur de tâches de Windows (Windows Task Scheduler). Elle a été signalée à Microsoft par des chercheurs du Threat Analysis Group de Google et un chercheur en sécurité anonyme.
L’attribution fait penser à des attaques ciblées. Pour la société de cybersécurité Tenable, une exploitation pourrait être associée à des menaces persistantes avancées APT ou des groupes en lien avec des États.
CVE-2024-43451 est une vulnérabilité d’usurpation d’identité affectant Windows et permettant de dévoiler le hash NTLMv2 utilisé pour l’authentification. En plus d’une exploitation active dans des attaques, cette vulnérabilité a été divulguée publiquement.
D’autres failles à surveiller (et corriger)
Sans code exploit qui se balade dans la nature, les vulnérabilités CVE-2024-49019 et CVE-2024-49040 ont aussi été divulguées publiquement. Elles sont respectivement de type élévation de privilèges et usurpation d’identité dans Active Directory Certificate Services et Microsoft Exchange Server.
Tenable attire par ailleurs l’attention sur deux vulnérabilités de type exécution de code à distance. Avec un niveau de dangerosité critique, CVE-2024-43639 touche le protocole d’authentification Windows Kerberos largement utilisé dans les réseaux de domaine Windows.
Jugée non critique, CVE-2024-43602 affecte Azure CycleCloud de Microsoft pour la gestion des environnements de calcul haute performance (HPC) dans Azure.