Le point de vue d'Akamai sur le Patch Tuesday de novembre 2024

CVE-2024-43451 — Plateforme Windows MSHTML (CVSS 6.5)

Les notes CVE mentionnent que le composant affecté était la plateforme MSHTML. Nous allons donc nous concentrer dessus.

MSHTML est un moteur de rendu de page Web pour le système d'exploitation Windows. Il expose une interface Component Object Model (COM) pour permettre aux programmes d'ajouter des capacités de rendu Web. Il est utilisé par Internet Explorer, le mode Internet Explorer de Microsoft Edge, Microsoft Outlook et divers autres programmes.

De nombreuses vulnérabilités ont été découvertes dans la plateforme MSHTML par le passé (dont certaines par les chercheurs d'Akamai). Il s'agit d'une cible d'exploitation de choix pour les attaquants en raison de sa capacité à contourner les mécanismes de défense et du fait qu'il s'agit d'une fonctionnalité intégrée à Windows.

Cette fois, il semble qu'un fichier spécialement conçu puisse provoquer une fuite du hachage NTLMv2 lorsque le fichier est ouvert par un utilisateur. NTLM est l'un des protocoles d'authentification de Windows, et une fuite du hachage de mot de passe peut conduire à des attaques de relais d'authentification, ou le hachage du mot de passe peut être utilisé dans le craquage hors ligne pour récupérer le mot de passe en texte clair de l'utilisateur.

Le VMSwitch est un composant d'Hyper-V, qui est l'implémentation d'un hyperviseur par Microsoft. Au-delà de son utilisation dans l'exécution de machines virtuelles, Hyper-V joue un rôle majeur dans la sécurité des nouvelles versions de Windows en fournissant un hyperviseur privilégié et sécurisé au-delà du noyau.

Le VMSwitch est le pilote responsable du trafic réseau entre les machines virtuelles hébergées sur Hyper-V. Il s'agit d'un composant paravirtualisé, c'est-à-dire que lorsqu'un invité Hyper-v interagit avec lui, il est exécuté directement sur l'hôte. Cela en fait une cible de recherche lucrative car elle permet des attaques invité-vers-hôte.

Surprise, surprise, CVE-2024-43625 c'est exactement ça. Un attaquant s'exécutant sur un invité Hyper-V peut envoyer des requêtes réseau spécialement conçues au VMSwitch, obtenant ainsi une use after free pouvant être exploitée pour exécuter du code dans le contexte de l'hôte. Cela est encore plus lucratif si vous vous souvenez qu'Hyper-V est également l'hyperviseur de Microsoft Azure. L'impact de cette vulnérabilité peut donc être considérable.

Ce n'est pas la première fois que VMSwitch est ciblé. En fait, nous avons fait des recherches nous-mêmes et découvert une vulnérabilité RCE critique de 9.9 en 2021 ; nous avons même présenté nos résultats à BlackHat cette année-là.

En plus de cette vulnérabilité critique, deux CVE supplémentaires affectent Hyper-V :

Il est possible de détecter l'utilisation d'Hyper-V en exécutant le programme osquery suivant :

Dans nos observations, 93 % des environnements avaient des machines avec Hyper-V activé, et ils représentaient en moyenne 25 % du réseau.

Kerberos est la base de l'architecture de domaine Windows. Il s'agit du mécanisme d'authentification par défaut, remplaçant NTLM. Une seule vulnérabilité critique dans Kerberos a été corrigée ce mois-ci : CVE-2024-43639 (CVSS 9.8).

L'exploitation réussie de l'attaque entraîne l'exécution de code à distance et ne nécessite aucune authentification. Ceci, associé au fait qu'il s'agit d'une vulnérabilité cryptographique, nous fait croire que l'attaque pourrait cibler le processus de pré-authentification Kerberos, qui se produit lors d'une connexion initiale au domaine. Cela signifie que l'attaque ciblerait principalement les contrôleurs de domaine, mais il est possible qu'elle puisse être adaptée pour fonctionner sur n'importe quelle autre machine Windows. Si la vulnérabilité cryptographique réside en fait dans la mise en œuvre de l'analyse des tickets, il est possible de l'appliquer lors des étapes ultérieures du processus d'authentification.

SMBv3 fait référence à l'exécution d'un serveur de fichiers SMB sur le protocole QUIC,qui est un nouveau protocole de transport. (Il a été introduit en 2012 et normalisé en 2021. Pour référence, TCP a été introduit en 1974 et normalisé en 1980.) Il repose sur UDP et prend en charge le multiplexage, le cryptage, etc. Microsoft intègre également QUIC dans Windows, et les versions plus récentes de Windows (11 et Server 2025) le prennent déjà en charge de diverses manières.

Avec CVE-2024-43447,un client malveillant peut déclencher un double free sur le serveur SMBv3 victime, ce qui peut conduire à une exécution de code à distance s'il est exploité avec succès. Bien que cela puisse être grave, le fait que le QUIC ne soit pas encore répandu rend l'impact potentiel dans la vie réelle assez faible. En fait, selon nos observations, seuls 8 % des environnements ont des serveurs avec QUIC activé. Sur ces 8 %, le pourcentage d'environnements avec des serveurs SMBv3 est encore plus faible étant donné que cette option n'est pas activée par défaut.

Les administrateurs réseau concernés peuvent restreindre le trafic QUIC à l'aide de la segmentation, car il communique sur le port UDP 443. Ils peuvent également désactiver la prise en charge QUIC sur leurs serveurs de fichiers SMB, s'ils en ont un.

En plus de cette vulnérabilité, il existe une autre vulnérabilité de déni de service dans un SMB ordinaire : CVE-2024-43642.

De nombreuses CVE du Patch Tuesday de ce mois-ci sont destinées aux systèmes que nous avons déjà traités dans le passé. Si notre analyse de ces services ou nos recommandations générales vous intéressent, nous vous encourageons à consulter nos précédents points de vue sur les articles de blog Patch Tuesday.