Pour son Patch Tuesday du mois de septembre, Microsoft corrige 79 vulnérabilités de sécurité affectant ses systèmes d’exploitation Windows et d’autres de ses produits. Parmi celles-ci, sept sont d’un niveau de dangerosité critique et quatre ont une exploitation détectée (0-day).
Du côté des vulnérabilités 0-day, CVE-2024-43491 attire l’attention. Critique et de type exécution de code à distance, elle est en lien avec la réintroduction de vulnérabilités qui étaient auparavant connues pour être exploitées. Elle annule les correctifs de certaines vulnérabilités touchant des composants optionnels sur Windows 10.
Pas de panique pour le grand public…
Ce constat paraît bien inquiétant, mais Microsoft souligne qu’un attaquant peut exploiter des vulnérabilités précédemment atténuées sur les systèmes Windows 10 version 1507 ayant installé la mise à jour KB503858 datant de mars 2024 ou d’autres mises à jour publiées jusqu’en août 2024. Toutes les versions ultérieures de Windows 10 ne sont pas concernées.
Windows 10 version 1507 appartient à un lointain passé pour la plupart. Néanmoins, l’alerte vaut pour Windows 10 Enterprise 2015 LTSB (Long-Term Servicing Branch) et Windows 10 IoT Enterprise 2015 LTSB qui sont ainsi restés vulnérables plusieurs mois.
Le cas échéant, Microsoft indique la nécessité d’installer dans l’ordre la mise à jour Servicing Stack (SSU KB5043936) et la mise à jour sécurité Windows (KB50443083) de ce mois de septembre.
Une divulgation publique
Au-delà de cette curiosité, les autres vulnérabilités 0-day sont CVE-2024-38217 (contournement de la protection Windows Mark of the Web), CVE-2024-38226 (contournement des fonctionnalités de sécurité Microsoft Publisher et pour les macros) et CVE-2024-38014 (élévation de privilèges dans Windows Installer).
À noter que CVE-2024-38217 a fait l’objet d’une divulgation publique estivale et pour des problèmes de longue date avec la protection SmartScreen s’appuyant sur le balisage Mark of the Web pour signaler un fichier.