patch tuesday
Threat Research

Le premier Patch Tuesday de 2024 commence tout en douceur

Quatre douzaines de correctifs et une poignée d'avis font de ce mois de janvier 2024 le plus calme depuis 2020.

Le mois de janvier n’est traditionnellement pas le mois le plus calme en matière de gestion des correctifs, donc un deuxième mois avec (relativement) peu de patchs Microsoft est un vrai cadeau. Dans ce Patch Tuesday, l’entreprise a publié des correctifs concernant 48 vulnérabilités dont 38 visant Windows. Huit autres groupes de produit sont également concernés. Parmi les CVE traitées, seules quatre sont considérées comme ‘Critiques’ en termes de gravité, du moins selon Microsoft, ces deux dernières concernant Windows.

Au moment de la publication de ce Patch Tuesday, aucun des problèmes mentionnés n’est connu pour avoir été exploité sur le terrain, et aucun n’a été divulgué publiquement. Cependant, selon l’estimation de l’entreprise, neuf des vulnérabilités corrigées dans Windows et SharePoint (notamment une CVE de gravité ‘Critique’ affectant Kerberos), sont plus susceptibles d’être exploitées au cours des 30 prochains jours. Quatre d’entre elles sont détectables par les protections Sophos, des informations sur ces dernières sont présentées dans le tableau ci-dessous.

En plus des 48 correctifs, ce Patch Tuesday contient des informations sur quatre CVE Chrome (publiées plus tôt ce mois-ci) qui affectent Edge, et une CVE émise par MITRE touchant le moteur de base de données open source SQLite (il n’y a pas de correctifs Adobe ce mois-ci). Nous n’incluons pas les problèmes mentionnés ci-dessus dans les divers comptages et graphiques CVE ci-dessous, mais nous vous fournirons des informations de manière globale dans une annexe à la fin de l’article. Nous incluons comme d’habitude à la fin de cet article trois autres annexes répertoriant tous les correctifs de Microsoft, triés par gravité, par exploitabilité potentielle et par famille de produits.

Quelques chiffres

  • Nombre total de CVE Microsoft : 48
  • Nombre total d’avis contenus dans la mise à jour : 0
  • Nombre total de problèmes Edge/ Chrome traités dans la mise à jour : 4
  • Divulgation(s) publique(s) : 0
  • Exploitation(s) : 0
  • Gravité :
    • Critique : 2
    • Importante : 46
  • Impact :
    • Divulgation d’informations : 12
    • Exécution de code à distance (RCE) : 11
    • Élévation de privilèges : 10
    • Déni de service : 6
    • Contournement des fonctionnalités de sécurité : 6
    • Usurpation : 3

patch tuesday

Figure 1 : Oui, vous lisez correctement le graphique ci-dessus  : les problèmes de divulgation d’informations sont plus nombreux que les bugs EoP et RCE en janvier. Les problèmes de contournement des fonctionnalités de sécurité, dont un de gravité ‘Critique’, figurent également en bonne position.

Produits

    • Windows : 38
    • .NET : 5 (dont 1 correctif partagé avec Visual Studio ; un avec Microsoft Identity Model / NuGet et Visual Studio ; et un avec Azure, SQL Server et Visual Studio).
    • Visual Studio : 4 (dont un partagé avec .NET ; un partagé avec .NET et Microsoft Identity Model/NuGet ; et un partagé avec .NET, Azure et SQL Server).
    • Azure : 2 (avec un correctif partagé avec . NET, SQL Server et Visual Studio).
    • Microsoft Identity Model / NuGet : 1 (partagé avec . NET et Visual Studio).
    • Microsoft Printer Metadata Troubleshooter Tool : 1
    • Office : 1
    • SharePoint : 1
    • Serveur SQL : 1 (partagé avec . NET, Azure et Visual Studio).

patch tuesday

Figure 2 : Windows est largement représenté dans les correctifs de ce mois-ci, mais plusieurs outils et applications moins courants sont également présents (désignations complètes indiquées dans les tableaux ci-dessous).

Mises à jour majeures du mois de janvier

En plus des problèmes mentionnés ci-dessus, quelques éléments intéressants méritent d’être soulignés.

CVE-2024-0057 : Vulnérabilité de contournement des fonctionnalités de sécurité dans .NET, .NET Framework et Visual Studio Framework

CVE-2024-20674 : Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows Kerberos

Parmi ces deux problèmes de contournement des fonctionnalités de sécurité, Microsoft considère que seul le problème Kerberos est de classe ‘Critique’. Le système de notation CVSS est différent, puisque les critères de ce système de notation exige que les évaluateurs envisagent les pires scénarios possibles lors de l’évaluation des bugs dans les bibliothèques de logiciels. Leurs scores de base CVSS sont donc respectivement de 9,1 et 9,0. Dans tous les cas, les administrateurs sont encouragés à donner la priorité à ces deux correctifs.

CVE-2024-20696 : Vulnérabilité d’exécution de code à distance dans Windows Libarchive

CVE-2024-20697 : Vulnérabilité d’exécution de code à distance dans Windows Libarchive

Les informations disponibles sur ces deux RCE de classe ‘Importante’ portant le même nom sont rares, mais le titre contient un indice important sur leur importance : ces deux problèmes affectent Libarchive, le moteur de lecture et d’écriture dans différents formats de compression et d’archive.

CVE-2024-20666 : Vulnérabilité de contournement des fonctionnalités de sécurité dans BitLocker

Un autre contournement des fonctionnalités de sécurité, cette fois-ci au sein même d’une fonctionnalité de sécurité. Ce problème est lié à des exigences assez variables concernant la maintenance de Safe OS : pour la plupart des versions de Windows 11, il s’agit désormais d’un processus entièrement automatisé, et ceux qui s’appuient sur WSUS sont automatiquement mis à jour, mais ceux qui travaillent dans des environnements plus complexes sont fortement encouragés à consulter les instructions publiées par Microsoft pour obtenir des instructions spécifiques. Dans tous les cas, l’attaquant aura besoin d’un accès physique à la machine ciblée.

CVE-2024-21305 : Vulnérabilité de contournement des fonctionnalités de sécurité dans HVCI (Hypervisor-Protected Code Integrity)

La CVE avec le score de base CVSS le plus bas ce mois-ci a des points communs avec les deux CVE aux scores plus élevés : c’est encore un autre contournement des fonctionnalités de sécurité. Cependant, celui-ci n’obtient qu’un score de base de 4,4 et nécessite que l’attaquant ait un accès physique à la machine ciblée et ait préalablement compromis les identifiants de l’administrateur. Cette vulnérabilité affecte un ensemble de versions client et serveur Windows et, pour ceux qui utilisent encore ce matériel, 15 versions de Surface.

Les protections de Sophos

CVE Sophos Intercept X / Endpoint IPS Sophos XGS Firewall
CVE-2024-20653 Exp/2420653-A Exp/2420653-A
CVE-2024-20698 Exp/2420698-A Exp/2420698-A
CVE-2024-21307 Exp/2421307-A Exp/2421307-A
CVE-2024-21310 Exp/2421310-A Exp/2421310-A

 

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs de janvier triés par impact, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE.

Divulgation d’informations (12 CVE)

Gravité ‘Importante’
CVE-2024-0056 Vulnérabilité de divulgation d’informations dans le fournisseur de données SQL Microsoft.Data.SqlClient et System.Data.SqlClient
CVE-2024-20660 Vulnérabilité de divulgation d’informations dans Windows Message Queuing Client
CVE-2024-20662 Vulnérabilité de divulgation d’informations dans OCSP (Windows Online Certificate Status Protocol)
CVE-2024-20663 Vulnérabilité de divulgation d’informations dans MSMQC (Windows Message Queuing Client)
CVE-2024-20664 Vulnérabilité de divulgation d’informations dans Microsoft Message Queuing Client
CVE-2024-20680 Vulnérabilité de divulgation d’informations dans MSMQC (Windows Message Queuing Client)
CVE-2024-20691 Vulnérabilité de divulgation d’informations dans Windows Themes
CVE-2024-20692 Vulnérabilité de divulgation d’informations dans Microsoft Local Security Authority Subsystem Service
CVE-2024-20694 Vulnérabilité de divulgation d’informations dans Windows CoreMessaging
CVE-2024-21311 Vulnérabilité de divulgation d’informations dans Windows Cryptographic Services
CVE-2024-21313 Vulnérabilité de divulgation d’informations dans Windows TCP/IP
CVE-2024-21314 Vulnérabilité de divulgation d’informations dans MSMQC (Windows Message Queuing Client)

 

Exécution de code à distance (11 CVE)

Gravité ‘Critique’
CVE-2024-20700 Vulnérabilité d’exécution de code à distance dans Windows Hyper-V
Gravité ‘Importante’
CVE-2024-20654 Vulnérabilité d’exécution de code à distance dans Microsoft ODBC Driver
CVE-2024-20655 Vulnérabilité d’exécution de code à distance dans Windows Online Certificate Status Protocol (OCSP)
CVE-2024-20676 Vulnérabilité d’exécution de code à distance dans Azure Storage Mover
CVE-2024-20677 Vulnérabilité d’exécution de code à distance dans Microsoft Office
CVE-2024-20682 Vulnérabilité d’exécution de code à distance dans Windows Cryptographique Services
CVE-2024-20696 Vulnérabilité d’exécution de code à distance dans Windows Libarchive
CVE-2024-20697 Vulnérabilité d’exécution de code à distance dans Windows Libarchive
CVE-2024-21307 Vulnérabilité d’exécution de code à distance dans Remote Desktop Client
CVE-2024-21318 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server
CVE-2024-21325 Vulnérabilité d’exécution de code à distance dans Microsoft Printer Metadata Troubleshooter Tool

 

Élévation de privilèges (10 CVE)

Gravité ‘Importante’
CVE-2024-20653 Vulnérabilité d’élévation de privilèges dans Microsoft Common Log File System
CVE-2024-20656 Vulnérabilité d’élévation de privilèges dans Visual Studio
CVE-2024-20657 Vulnérabilité d’élévation de privilèges dans Windows Group Policy
CVE-2024-20658 Vulnérabilité d’élévation de privilèges dans Microsoft Virtual Hard Disk
CVE-2024-20681 Vulnérabilité d’élévation de privilèges dans Windows Subsystem pour Linux
CVE-2024-20683 Vulnérabilité d’élévation de privilèges dans Win32k
CVE-2024-20686 Vulnérabilité d’élévation de privilèges dans Win32k
CVE-2024-20698 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2024-21309 Vulnérabilité d’élévation de privilèges dans Windows Kernel-Mode Driver
CVE-2024-21310 Vulnérabilité d’élévation de privilèges dans Windows Cloud Files Mini Filter Driver

 

Déni de service (6 CVE)

Gravité ‘Importante’
CVE-2024-20661 Vulnérabilité de déni de service dans Microsoft Message Queuing
CVE-2024-20672 Vulnérabilité de déni de service dans .NET Core et Visual Studio
CVE-2024-20687 Vulnérabilité de déni de service dans Microsoft AllJoyn API
CVE-2024-20699 Vulnérabilité de déni de service dans Windows Hyper-V
CVE-2024-21312 Vulnérabilité de déni de service dans .NET Framework
CVE-2024-21319 Vulnérabilité de déni de service dans Microsoft Identity

 

Contournement des fonctionnalités de sécurité (6 CVE)

Gravité ‘Critique’
CVE-2024-20674 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows Kerberos
Gravité ‘Importante’
CVE-2024-0057 Vulnérabilité d’élévation de privilèges dans .NET, .NET Framework et Visual Studio
CVE-2024-20652 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows HTML Platforms
CVE-2024-20666 Vulnérabilité de contournement des fonctionnalités de sécurité dans BitLocker
CVE-2024-21305 Vulnérabilité de contournement des fonctionnalités de sécurité HVCI (Hypervisor-Protected Code Integrity)
CVE-2024-21316 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows Server Key Distribution Service

 

Usurpation (3 CVE)

Gravité ‘Importante’
CVE-2024-20690 Vulnérabilité d’usurpation dans Windows Nearby Sharing
CVE-2024-21306 Vulnérabilité d’usurpation dans Microsoft Bluetooth Driver
CVE-2024-21320 Vulnérabilité d’usurpation dans Windows Themes

 

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois de janvier, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday. Chaque liste est ensuite organisée par CVE. Aucune CVE traitée dans la série de correctifs du mois de janvier n’est encore connue pour être activement exploitée sur le terrain.

Exploitation plus probable dans les 30 jours
CVE-2024-20652 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows HTML Platforms
CVE-2024-20653 Vulnérabilité d’élévation de privilèges dans Microsoft Common Log File System
CVE-2024-20674 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows Kerberos
CVE-2024-20683 Vulnérabilité d’élévation de privilèges dans Win32k
CVE-2024-20686 Vulnérabilité d’élévation de privilèges dans Win32k
CVE-2024-20698 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2024-21307 Vulnérabilité d’exécution de code à distance dans Remote Desktop Client
CVE-2024-21310 Vulnérabilité d’élévation de privilèges dans Windows Cloud Files Mini Filter Driver
CVE-2024-21318 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server

 

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois de janvier triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE. Les correctifs partagés entre plusieurs familles de produit sont répertoriés plusieurs fois, une fois pour chaque famille.

Windows (38 CVE)

Gravité ‘Critique’
CVE-2024-20674 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows Kerberos
CVE-2024-20700 Vulnérabilité d’exécution de code à distance dans Windows Hyper-V
Gravité ‘Importante’
CVE-2024-20652 Vulnérabilité de contournement des fonctionnalité de sécurité dans Windows HTML Platforms
CVE-2024-20653 Vulnérabilité d’élévation de privilèges dans Microsoft Common Log File System
CVE-2024-20654 Vulnérabilité d’exécution de code à distance dans Microsoft ODBC Driver
CVE-2024-20655 Vulnérabilité d’exécution de code à distance dans Windows Online Certificate Status Protocol (OCSP)
CVE-2024-20657 Vulnérabilité d’élévation de privilèges dans Windows Group Policy
CVE-2024-20658 Vulnérabilité d’élévation de privilèges dans Microsoft Virtual Hard Disk
CVE-2024-20660 Vulnérabilité de divulgation d’informations dans Windows Message Queuing Client
CVE-2024-20661 Vulnérabilité de déni de service dans Microsoft Message Queuing
CVE-2024-20662 Vulnérabilité de divulgation d’informations dans OCSP (Windows Online Certificate Status Protocol)
CVE-2024-20663 Vulnérabilité de divulgation d’informations dans MSMQC (Windows Message Queuing Client)
CVE-2024-20664 Vulnérabilité de divulgation d’informations dans Microsoft Message Queuing Client
CVE-2024-20666 Vulnérabilité de contournement des fonctionnalités de sécurité dans BitLocker
CVE-2024-20680 Vulnérabilité de divulgation d’informations dans MSMQC (Windows Message Queuing Client)
CVE-2024-20681 Vulnérabilité d’élévation de privilèges dans Windows Subsystem pour Linux
CVE-2024-20682 Vulnérabilité d’exécution de code à distance dans Windows Cryptographique Services
CVE-2024-20683 Vulnérabilité d’élévation de privilèges dans Win32k
CVE-2024-20686 Vulnérabilité d’élévation de privilèges dans Win32k
CVE-2024-20687 Vulnérabilité de déni de service dans Microsoft AllJoyn API
CVE-2024-20690 Vulnérabilité d’usurpation dans Windows Nearby Sharing
CVE-2024-20691 Vulnérabilité de divulgation d’informations dans Windows Themes
CVE-2024-20692 Vulnérabilité de divulgation d’informations dans Microsoft Local Security Authority Subsystem Service
CVE-2024-20694 Vulnérabilité de divulgation d’informations dans Windows CoreMessaging
CVE-2024-20696 Vulnérabilité d’exécution de code à distance dans Windows Libarchive
CVE-2024-20697 Vulnérabilité d’exécution de code à distance dans Windows Libarchive
CVE-2024-20698 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2024-20699 Vulnérabilité de déni de service dans Windows Hyper-V
CVE-2024-21305 Vulnérabilité de contournement des fonctionnalités de sécurité dans HVCI (Hypervisor-Protected Code Integrity)
CVE-2024-21306 Vulnérabilité d’usurpation dans Microsoft Bluetooth Driver
CVE-2024-21307 Vulnérabilité d’exécution de code à distance dans Remote Desktop Client
CVE-2024-21309 Vulnérabilité d’élévation de privilèges dans Windows Kernel-Mode Driver
CVE-2024-21310 Vulnérabilité d’élévation de privilèges dans Windows Cloud Files Mini Filter Driver
CVE-2024-21311 Vulnérabilité de divulgation d’informations dans Windows Cryptographic Services
CVE-2024-21313 Vulnérabilité de divulgation d’informations dans Windows TCP/IP
CVE-2024-21314 Vulnérabilité de divulgation d’informations dans MSMQC (Windows Message Queuing Client)
CVE-2024-21316 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows Server Key Distribution Service
CVE-2024-21320 Vulnérabilité d’usurpation dans Windows Themes

 

.NET (5 CVE)

Gravité ‘Importante’
CVE-2024-0056 Vulnérabilité de divulgation d’informations dans le fournisseur de données SQL Microsoft.Data.SqlClient et System.Data.SqlClient
CVE-2024-0057 Vulnérabilité d’élévation de privilèges dans .NET, .NET Framework et Visual Studio
CVE-2024-20672 Vulnérabilité de déni de service dans .NET Core et Visual Studio
CVE-2024-21312 Vulnérabilité de déni de service dans .NET Framework
CVE-2024-21319 Vulnérabilité de déni de service dans Microsoft Identity

 

Visual Studio (4 CVE)

Gravité ‘Importante’
CVE-2024-0056 Vulnérabilité de divulgation d’informations dans le fournisseur de données SQL Microsoft.Data.SqlClient et System.Data.SqlClient
CVE-2024-0057 Vulnérabilité d’élévation de privilèges dans .NET, .NET Framework et Visual Studio
CVE-2024-20656 Vulnérabilité d’élévation de privilèges dans Visual Studio
CVE-2024-21319 Vulnérabilité de déni de service dans Microsoft Identity

 

Azure (2 CVE)

Gravité importante
CVE-2024-0056 Vulnérabilité de divulgation d’informations dans le fournisseur de données SQL Microsoft.Data.SqlClient et System.Data.SqlClient
CVE-2024-20676 Vulnérabilité d’exécution de code à distance dans Azure Storage Mover

 

Microsoft Identity Modèle (1 CVE)

Gravité importante
CVE-2024-21319 Vulnérabilité de déni de service dans Microsoft Identity

 

Microsoft Printer Metadata Troubleshooter Tool (1 CVE)

Gravité importante
CVE-2024-21325 Vulnérabilité d’exécution de code à distance dans Microsoft Printer Metadata Troubleshooter Tool

 

Office (1 CVE)

Gravité importante
CVE-2024-20677 Vulnérabilité d’exécution de code à distance dans Microsoft Office

 

SharePoint (1 CVE)

Gravité ‘Importante’
CVE-2024-21318 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server

 

SQL Server (1 CVE)

Gravité ‘Importante’
CVE-2024-0056

 

Vulnérabilité de divulgation d’informations dans le fournisseur de données SQL Microsoft.Data.SqlClient et System.Data.SqlClient

 

Annexe D : Avis et autres produits

Il s’agit d’une liste d’avis et d’informations concernant d’autres CVE pertinentes dans le Patch Tuesday du mois de janvier de Microsoft, triés par produits.

Publications pertinentes pour Edge / Chromium (4 CVE)

CVE-2024-0222 Chromium : CVE-2024-0222 (Use after free dans ANGLE)
CVE-2024-0223 Chromium : CVE-2024-0223 (Heap buffer overflow dans ANGLE)
CVE-2024-0224 Chromium : CVE-2024-0224 (Use after free dans WebAudio)
CVE-2024-0225 Chromium : CVE-2024-0225 (Use after free dans WebGPU)

 

Publications pertinentes pour Windows (produit tiers) (1 CVE)

CVE-2022-35737 MITRE CVE-2022-35737 SQLite permet un dépassement de capacité lié au tableau

 

Billet inspiré de 2024’s first Patch Tuesday steps lightly, sur le Blog Sophos.