C’est l’ouverture de la saison 2024 de Patch Tuesday pour Microsoft. Un premier rendez-vous relativement léger avec des correctifs pour moins d’une cinquantaine de vulnérabilités de sécurité, dont deux critiques.
Comme lors de l’ultime Patch Tuesday de 2023, il n’est pas fait mention de vulnérabilités 0-day pour des exploitations actives dans des attaques, avant la disponibilité d’un correctif. Il n’y a par ailleurs pas eu de divulgation publique.
À souligner que le navigateur Microsoft Edge (basé sur Chromium) a bénéficié quelques jours auparavant du comblement de plusieurs failles de sécurité, dans le cadre d’une mise à jour indépendante.
Les deux vulnérabilités critiques
De type exécution de code à distance, la vulnérabilité critique CVE-2024-20700 affecte Windows Hyper-V. Selon Microsoft, une exploitation est complexe, ce qui n’est pas le cas de l’autre vulnérabilité critique CVE-2024-20674 de contournement de sécurité qui touche Windows Kerberos.
Microsoft écrit qu’un attaquant authentifié pourrait exploiter la vulnérabilité CVE-2024-20674 via une attaque machine-in-the-middle ou une autre technique d’usurpation de réseau local, puis en envoyant un message Kerberos malveillant à la machine cliente victime afin de se faire passer pour le serveur d’authentification Kerberos.
Dans le but de parvenir à ses fins et avant d’exécuter une attaque, l’attaquant doit toutefois d’abord être en mesure d’obtenir l’accès au réseau restreint. La vulnérabilité a été signalée par un chercheur en sécurité tiers.