​Microsoft a révélé une vulnérabilité zero-day de gravité élevée affectant Office 2016 et versions ultérieures, qui attend toujours un correctif.

Répertoriée sous le numéro CVE-2024-38200, cette faille de sécurité est causée par une faiblesse de divulgation d’informations qui permet à des acteurs non autorisés d’accéder à des informations protégées telles que des données d’état ou de configuration du système, des informations personnelles ou des métadonnées de connexion.

Le jour zéro affecte plusieurs versions Office 32 bits et 64 bits, y compris Office 2016, Office 2019, Office LTSC 2021 et les applications Microsoft 365 pour les entreprises.

Même si l’évaluation de l’exploitabilité de Microsoft indique que l’exploitation de CVE-2024-38200 est moins probable, MITRE a marqué la probabilité d’exploitation de ce type de faiblesse comme hautement probable.

« Dans un scénario d’attaque Web, un attaquant pourrait héberger un site Web (ou exploiter un site Web compromis qui accepte ou héberge du contenu fourni par l’utilisateur)contenant un fichier spécialement conçu pour exploiter la vulnérabilité », explique l’avis de Microosoft.

« Cependant, un attaquant n’aurait aucun moyen de forcer l’utilisateur à visiter le site Web. Au lieu de cela, un attaquant devrait convaincre l’utilisateur de cliquer sur un lien, généralement par le biais d’une incitation dans un e-mail ou un message de messagerie instantanée, puis convaincre l’utilisateur d’ouvrir le fichier spécialement conçu. »

La société développe des mises à jour de sécurité pour résoudre ce bogue du jour zéro, mais n’a pas encore annoncé de date de sortie.

Plus de détails à partager à Defcon
Bien que Redmond n’ait partagé aucun détail concernant la faille, sa découverte a été attribuée au consultant en sécurité de PrivSec Consulting Jim Rush et au membre de l’équipe Synack Red Metin Yunus Kandemir.

Le directeur général de PrivSec, Peter Jakowetz, a déclaré à Breachtrace que Rush divulguerait plus d’informations sur cette vulnérabilité dans sa prochaine conférence Defcon « NTLM – The last ride ».

« Il y aura une plongée en profondeur sur plusieurs nouveaux bogues que nous avons divulgués à Microsoft (y compris le contournement d’un correctif pour un CVE existant), quelques techniques intéressantes et utiles, combinant des techniques de plusieurs classes de bogues entraînant des découvertes inattendues et des bogues absolument cuits », explique Rush.

« Nous découvrirons également des valeurs par défaut qui ne devraient tout simplement pas exister dans des bibliothèques ou des applications sensibles, ainsi que des lacunes flagrantes dans certains des contrôles de sécurité liés à Microsoft NTLM. »

Microsoft travaille également à corriger les failles zero-day qui pourraient être exploitées pour « annuler le correctif » des systèmes Windows mis à jour et réintroduire d’anciennes vulnérabilités.

La société a également déclaré plus tôt cette semaine qu’elle envisageait de corriger un contrôle d’application intelligent Windows, SmartScreen bypass exploité depuis 2018.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *