Dans le cadre de son Patch Tuesday pour le mois de juillet, Microsoft corrige un total de 139 vulnérabilités de sécurité touchant Windows et divers de ses produits, sans compter une poignée de corrections par des tiers qui sont incluses.
Il s’agit donc d’une fournée copieuse de patchs, pour laquelle cinq vulnérabilités sont critiques. Deux vulnérabilités jugées non critiques ont fait l’objet d’une exploitation active dans des attaques, alors que le correctif n’était pas encore disponible.
Deux failles 0-day
Les deux vulnérabilités zero-day sont estampillées CVE-2024-38080 et CVE-2024-38112. Respectivement de type élévation de privilèges et usurpation d’identité (spoofing), elles affectent le système de virtualisation Windows Hyper-V (Windows 11 et Windows Server 2022) et la plateforme MSHTML de Windows.
La vulnérabilité CVE-2024-38080 a été signalée à Microsoft par un chercheur en sécurité anonyme. Compte tenu de sa nature, l’entreprise de cybersécurité Tenable suppose une exploitation par un groupe APT et souligne que depuis 2022, il y a eu 44 vulnérabilités dans Windows Hyper-V. La dernière se distingue par son caractère 0-day.
Pour la vulnérabilité CVE-2024-38112, Microsoft attribue sa découverte à un chercheur de Check Point Research, dont le signalement remonte au mois de mai dernier.
Internet Explorer n’a pas fini d’inquiéter
Une surprise est que CVE-2024-38112 est en rapport avec le moteur du navigateur Internet Explorer.
Check Point Research recommande de procéder sans tarder à l’application du correctif, en détaillant une attaque par usurpation d’identité qui utilise les fichiers de raccourcis d’Internet Explorer pour attirer les utilisateurs de Windows 10 et 11, et permettre au final une exécution de code à distance.
La vulnérabilité CVE-2024-38112 aurait été exploitée dans la nature pendant plus d’un an. Des millions d’utilisateurs sont susceptibles d’avoir été touchés.