Dans le cadre de son Patch Tuesday de juillet, Microsoft corrige un total de 139 vulnérabilités de sécurité affectant Windows et plusieurs de ses produits, sans compter une poignée de correctifs tiers qui sont inclus.
Il s’agit donc d’un lot copieux de correctifs, pour lesquels cinq vulnérabilités sont critiques. Deux vulnérabilités jugées non critiques ont fait l’objet d’une exploitation active dans les attaquesalors que le correctif n’était pas encore disponible.
Deux vulnérabilités zero-day
Les deux vulnérabilités zero-day sont estampillées CVE-2024-38080 et CVE-2024-38112. Respectivement de type élévation de privilèges et vol d’identité (spoofing), elles affectent le système de virtualisation Windows Hyper-V (Windows 11 et Windows Server 2022) et le Plateforme Windows MSHTML.
La vulnérabilité CVE-2024-38080 a été signalée à Microsoft par un chercheur en sécurité anonyme. Compte tenu de sa nature, la société de cybersécurité Tenable suppose une exploitation par un groupe APT et souligne que depuis 2022, 44 vulnérabilités ont été détectées dans Windows Hyper-V. La dernière en date se distingue par sa nature zero-day.
Pour la vulnérabilité CVE-2024-38112, Microsoft attribue sa découverte à un chercheur de Check Point Research, dont le rapport remonte à mai dernier.
Internet Explorer n’a pas fini de s’inquiéter
Une surprise est que CVE-2024-38112 est lié au moteur de navigateur Internet Explorer.
Check Point Research recommande une mise à jour immédiate, détaillant une attaque d’usurpation d’identité qui utilise le Fichiers de raccourcis Internet Explorer pour attirer les utilisateurs de Windows 10 et 11 et, à terme, permettre l’exécution de code à distance.
La vulnérabilité CVE-2024-38112 aurait été exploitée depuis plus d’un an. Des millions d’utilisateurs auraient été touchés.