🔴 LE BLACK FRIDAY EN DIRECT ! 🔴 LE BLACK FRIDAY EN DIRECT !

Patch Tuesday : Microsoft corrige six failles zero-day, dont deux activement exploitées

10 novembre 2021 à 10h25
5
Microsoft Logo © JPstock / Shutterstock.com
© JPstock / Shutterstock.com

Microsoft a sorti son Patch Tuesday de novembre, qui corrige un total de 55 vulnérabilités, dont deux failles zero-day activement exploitées.

Ces deux zero-day concernent Microsoft Exchange et Excel.

Une faille zero-day activement exploitée dans Microsoft Excel

Comme à chaque Patch Tuesday, Microsoft a détaillé les vulnérabilités corrigées. Cette fois-ci, l'entreprise a corrigé un total de 55 vulnérabilités. Parmi elles, six failles zero-day dont deux activement exploitées. Pour rappel, Microsoft classifie une vulnérabilité comme « zero-day » si elle est activement exploitée ou si elle a été dévoilée publiquement sans qu'un correctif soit disponible.

La première de ces zero-day exploitées, la CVE-2021-42292, a été découverte comme étant utilisée dans des attaques par le Microsoft Threat Intelligence Center et est présente dans Microsoft Excel. À cause d'un bug, il est possible pour un attaquant d'exécuter du code malveillant et de contourner les mesures de sécurité lorsqu'un utilisateur ouvre un fichier Excel spécialement créé. Aucun détail n'a été partagé sur l'exploitation de cette vulnérabilité, mais Dustin Childs de Zero Day Initiative spécule qu'elle est sûrement due « au chargement de code qui devrait être derrière un prompt, mais pour une raison quelconque, ce prompt n'apparaît pas, contournant ainsi cette mesure de sécurité ».

À noter que si les versions d'Excel pour macOS sont également touchées, il n'existe pour le moment pas de patch disponible pour celles-ci.

Microsoft Exchange encore touché

La deuxième zero-day activement exploitée, désignée comme étant la CVE-2021-42321, concerne Microsoft Exchange. Elle impacte Exchange Server 2016 et Exchange Server 2019. Cette vulnérabilité a notamment été utilisée lors de la Tianfu Cup, un concours de hacking chinois. Cette faille est une vulnérabilité d'exécution de code à distance et nécessite que l'attaquant soit authentifié pour pouvoir être exploitée. Cependant, au vu de son utilisation dans des attaques limitées, Microsoft demande à tous les admins de mettre à jour leurs serveurs Exchange le plus rapidement possible. Les entreprises qui utilisent Exchange Online ne sont pas concernées par cette vulnérabilité.

Parmi les quatre autres zero-day corrigées et non exploitées, deux concernent le protocole Bureau à distance et sont des vulnérabilités de divulgation d'informations. Les deux dernières sont présentes dans la visionneuse 3D et permettent de l'exécution de code à distance. Pour ces dernières, Microsoft précise que le correctif sera téléchargé automatiquement à partir du Microsoft Store si l'option n'a pas été désactivée.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
5
clockover
Bizarrement 365 n’est jamais concerné c’est pourtant bien de l’Exchange derrière.<br /> Deux options possibles:<br /> soit 365 est tout aussi concerné et ils mentent en affirmant que non.<br /> soit ils torpillent leur produit on-premise pour pousser à la bascule.<br />
SPH
J’aurais au moins appris ce qu’était une faille « zero-day »
sources
Je ne suis pas spécialiste, mais 365 est géré directement par Microsoft. Ils doivent donc appliquer assez rapidement les patchs qu’ils fournissent à tout le monde.
clockover
Sauf que la faille zero-day a forcément été exploitée avant qu’ils patchent l’ensemble de 365.<br /> Donc par transparence, ils devraient dire «&nbsp;365 est protégé depuis tel jour&nbsp;».
ti4444
oui et non si tu parle de la version web c’est évident mais il est possible d’installer office 365 en mode client lourd
Voir tous les messages sur le forum

Derniers actualités

Quand l'app de billetterie de la Coupe du monde crashe... et laisse les spectateurs hors du stade
Black Friday : pourquoi cet antivirus est une valeur sûre pour sécuriser vos achats en ligne
Black Friday : à moins de 450€, cet aspirateur Dyson V11 Extra est une offre immanquable !
Encore ? Tesla rappelle 80 000 véhicules en Chine
Le volant Thrusmaster tombe à son prix le plus bas pour le Black Friday
Black Friday : le clavier Logitech MX Keys Plus est à moins 33% en ce moment
Pour le Black Friday, le Fire TV Stick 4K est toujours à prix bas
Le VPN NordVPN sort le grand jeu pour ce Black Friday (-63%)
Black Friday Amazon : TOP 10 des offres choc ce samedi !
Mettez Chrome à jour maintenant, une nouvelle faille zero-day est à corriger
Haut de page