Un Patch Tuesday mouvementé et imposant avec des changements apportés par Microsoft

Plusieurs mois de calme relatif viennent de s’achever pour les administrateurs Windows, puisque Microsoft vient de publier 147 correctifs affectant dix familles de produits. Windows se taille la part du lion au niveau des correctifs avec 90, dont 38 pour SQL Server (et dix partagés avec Visual Studio). Les autres sont répartis entre .NET, 365, Azure, Defender pour IoT, Office, Outlook et SharePoint. Il existe trois problèmes de gravité critique, affectant tous Defender pour IoT.

Au moment de la publication de ce Patch Tuesday, trois problèmes, tous de gravité importante, affectant Windows, sont connus pour être activement exploités sur le terrain. L’un d’entre eux (CVE-2024-26234, un problème lié au pilote et signalé à Microsoft par Sophos) est divulgué publiquement, comme nous le verrons ci-dessous. Selon l’estimation de l’entreprise, onze vulnérabilités de gravité plus importante dans Windows sont plus susceptibles d’être exploitées au cours des 30 prochains jours. Six d’entre elles sont détectables par les protections Sophos, des informations sur ces dernières vous seront présentées dans le tableau ci-dessous.

En plus de ces correctifs, la version comprend des informations consultatives sur cinq correctifs liés au navigateur Edge et cinq autres concernant Intel, Lenovo et Red Hat ; les mises à jour régulières de la pile de maintenance sont également incluses dans les documents consultatifs de ce mois-ci. Nous n’incluons pas d’avertissements dans les décomptes et les graphiques CVE ci-dessous, mais nous fournissons des informations sur chacun d’eux dans une annexe à la fin de l’article. Nous incluons comme d’habitude à la fin de cet article trois autres annexes répertoriant tous les correctifs de Microsoft, triés par gravité, par exploitabilité potentielle et par famille de produits.

Quelques chiffres

• Nombre total de CVE Microsoft : 147
• Total des avis/problèmes Edge/Chrome traités dans la mise à jour : 5
• Total des avis/problèmes non-Edge et non-Microsoft traités dans la mise à jour : 5
• Divulgation(s) publique(s) : 1
• Exploitation en cours : 3
• Gravité :
  • Critique : 3
  • Importante : 142
  • Modérée : 2
• Impact :
  • Exécution de code à distance : 67
  • Élévation de privilèges : 31
  • Contournement des fonctionnalités de sécurité : 27
  • Divulgation d’informations : 12
  • Déni de service : 7
  • Usurpation : 3

Figure 1 : Les RCE sont arrivées au premier plan ce mois-ci, mais le contournement des fonctionnalités de sécurité affiche une belle performance (nous en reparlerons dans un instant)

Produits

• Windows : 90
• SQL Server : 38 (incluant un correctif partagé avec Visual Studio)
• Visual Studio : 11 (dont un partagé avec .NET et un autre avec .NET et Windows)
• Azure : 9
• Defender pour IoT : 6
• .NET : 1 (partagé avec Visual Studio)
• 365 : 1 (partagé avec Office)
• Office : 1 (partagé avec 365)
• Outlook : 1
• SharePoint : 1

Figure 2 : Windows représente un peu moins des deux tiers des correctifs d’avril 2024, avec neuf autres familles de produits également présentes (mais cinq d’entre elles ne reçoivent qu’un seul correctif)

Mises à jour et thématiques majeures de ce mois d’avril

Outre les questions évoquées ci-dessus, quelques éléments spécifiques méritent une attention particulière.

Les problèmes au niveau du démarrage (boot) s’accumulent

Vulnérabilité de contournement des fonctionnalités de sécurité dans Secure Boot : 24 correctifs.
Vulnérabilité de contournement des fonctionnalités de sécurité dans BitLocker : 1 correctif.
Lenovo : CVE-2024-23593 (Restauration du gestionnaire de démarrage et passage au Shell UEFI) : 1 correctif.
Lenovo : CVE-2024-23594 (Débordement de tampon de la pile dans LenovoBT.efi) : 1 correctif.

Secure Boot et BitLocker connaissent un mois intéressant. Les 25 correctifs Microsoft constituent des problèmes de gravité importante. Microsoft affirme qu’aucun d’entre eux n’est actuellement exploité activement et estime qu’une exploitation est moins probable dans les 30 jours suivant sa publication. Les deux problèmes de Lenovo sont également liés aux processus de démarrage (boot) et sont considérés par Microsoft comme des vulnérabilités de contournement des fonctionnalités de sécurité de gravité importante et sont moins susceptibles d’être exploités dans les 30 prochains jours (il convient de noter que Microsoft mentionne les versions de Lenovo simplement à titre informatif).

CVE-2024-26234 : vulnérabilité d’usurpation dans Proxy Driver

Comme mentionné ci-dessus, en décembre dernier, Sophos X-Ops a lancé une investigation concernant un exécutable suspect qui prétendait être signé par un certificat Microsoft Hardware Publisher valide. Vous pouvez lire notre article dédié pour mieux comprendre nos découvertes. De son côté, Microsoft a ajouté les fichiers concernés à sa liste de révocation mise à jour en continu, qui a été amendée dans ce Patch Tuesday en utilisant le numéro CVE attribué. C’est le seul problème de ce mois qui est considéré comme étant publiquement divulgué.

Un mois difficile pour SQL Server

Vulnérabilité d’exécution de code à distance dans Microsoft ODBC Driver for SQL Server : 13 correctifs
Vulnérabilité d’exécution de code à distance dans Microsoft OLE DB Driver for SQL Server : 24 correctifs
Vulnérabilité d’exécution de code à distance dans Microsoft WDAC OLE DB Provider for SQL Server : 3 correctifs
Vulnérabilité d’exécution de code à distance dans Microsoft WDAC SQL Server ODBC Driver : 1 correctif

Ces 41 correctifs sont tous des problèmes de gravité importante avec des numéros CVE probablement attribués à partir du bloc CAN de Microsoft (presque tous sont séquentiels, indiquant ainsi généralement qu’ils ont été extraits du même bloc à peu près au même moment). Microsoft affirme qu’aucun d’entre eux n’est actuellement exploité activement et estime qu’une exploitation est moins probable dans les 30 jours suivant sa publication.

Figure 3 : Le contournement des fonctionnalités de sécurité passe à la troisième place dans le total cumulé des correctifs pour 2024, bien que les RCE soient toujours en tête du peloton.

Les protections de Sophos

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs d’avril triés par impact, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE. Dans le but de tenir nos lecteurs informés, nous fournissons également des scores CVSS et temporaires dès qu’ils sont disponibles, car ils peuvent différer des auto-évaluations de Microsoft.

Exécution de code à distance (68 CVE)

Élévation de privilèges (31 CVE)

Contournement des fonctionnalités de sécurité (26 CVE)

Divulgation d’informations (12 CVE)

Déni de service (7 CVE)

Usurpation (3 CVE)

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois d’avril, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday. Chaque liste est ensuite organisée par CVE.

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois d’avril triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE. Les correctifs partagés entre plusieurs familles de produit sont répertoriés plusieurs fois, une fois pour chaque famille.

Windows (90 CVE)

SQL Server (38 CVE)

Visual Studio (11 CVE)

Azure (9 CVE)

Defender : (6 CVE)

.NET (1 CVE)

365 (1 CVE)

Office (1 CVE)

Outlook (1 CVE)

SharePoint (1 CVE)

Annexe D : Avis et autres produits

Il s’agit d’une liste d’avis et d’informations concernant d’autres CVE pertinentes dans le Patch Tuesday du mois d’avril de Microsoft, triés par produits.

Publications pertinentes pour Edge / Chromium (5 CVE)

Publications pertinentes pour Windows (publications non-Microsoft) (5 CVE)

Autres

Billet inspiré de A tumultuous, titanic Patch Tuesday as Microsoft makes some changes, sur le Blog Sophos.