Microsoft a sorti son Patch Tuesday de novembre, qui corrige un total de 55 vulnérabilités, dont deux failles zero-day activement exploitées.
Ces deux zero-day concernent Microsoft Exchange et Excel.
Une faille zero-day activement exploitée dans Microsoft Excel
Comme à chaque Patch Tuesday, Microsoft a détaillé les vulnérabilités corrigées. Cette fois-ci, l'entreprise a corrigé un total de 55 vulnérabilités. Parmi elles, six failles zero-day dont deux activement exploitées. Pour rappel, Microsoft classifie une vulnérabilité comme « zero-day » si elle est activement exploitée ou si elle a été dévoilée publiquement sans qu'un correctif soit disponible.
La première de ces zero-day exploitées, la CVE-2021-42292, a été découverte comme étant utilisée dans des attaques par le Microsoft Threat Intelligence Center et est présente dans Microsoft Excel. À cause d'un bug, il est possible pour un attaquant d'exécuter du code malveillant et de contourner les mesures de sécurité lorsqu'un utilisateur ouvre un fichier Excel spécialement créé. Aucun détail n'a été partagé sur l'exploitation de cette vulnérabilité, mais Dustin Childs de Zero Day Initiative spécule qu'elle est sûrement due « au chargement de code qui devrait être derrière un prompt, mais pour une raison quelconque, ce prompt n'apparaît pas, contournant ainsi cette mesure de sécurité ».
À noter que si les versions d'Excel pour macOS sont également touchées, il n'existe pour le moment pas de patch disponible pour celles-ci.
Microsoft Exchange encore touché
La deuxième zero-day activement exploitée, désignée comme étant la CVE-2021-42321, concerne Microsoft Exchange. Elle impacte Exchange Server 2016 et Exchange Server 2019. Cette vulnérabilité a notamment été utilisée lors de la Tianfu Cup, un concours de hacking chinois. Cette faille est une vulnérabilité d'exécution de code à distance et nécessite que l'attaquant soit authentifié pour pouvoir être exploitée. Cependant, au vu de son utilisation dans des attaques limitées, Microsoft demande à tous les admins de mettre à jour leurs serveurs Exchange le plus rapidement possible. Les entreprises qui utilisent Exchange Online ne sont pas concernées par cette vulnérabilité.
Parmi les quatre autres zero-day corrigées et non exploitées, deux concernent le protocole Bureau à distance et sont des vulnérabilités de divulgation d'informations. Les deux dernières sont présentes dans la visionneuse 3D et permettent de l'exécution de code à distance. Pour ces dernières, Microsoft précise que le correctif sera téléchargé automatiquement à partir du Microsoft Store si l'option n'a pas été désactivée.
Sources : BleepingComputer, Zero Day Initiative
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
