Patch Tuesday : Microsoft corrige six failles zero-day, dont deux activement exploitées

10 novembre 2021 à 10h25
5
Microsoft Logo © JPstock / Shutterstock.com
© JPstock / Shutterstock.com

Microsoft a sorti son Patch Tuesday de novembre, qui corrige un total de 55 vulnérabilités, dont deux failles zero-day activement exploitées.

Ces deux zero-day concernent Microsoft Exchange et Excel.

Une faille zero-day activement exploitée dans Microsoft Excel

Comme à chaque Patch Tuesday, Microsoft a détaillé les vulnérabilités corrigées. Cette fois-ci, l'entreprise a corrigé un total de 55 vulnérabilités. Parmi elles, six failles zero-day dont deux activement exploitées. Pour rappel, Microsoft classifie une vulnérabilité comme « zero-day » si elle est activement exploitée ou si elle a été dévoilée publiquement sans qu'un correctif soit disponible.

La première de ces zero-day exploitées, la CVE-2021-42292, a été découverte comme étant utilisée dans des attaques par le Microsoft Threat Intelligence Center et est présente dans Microsoft Excel. À cause d'un bug, il est possible pour un attaquant d'exécuter du code malveillant et de contourner les mesures de sécurité lorsqu'un utilisateur ouvre un fichier Excel spécialement créé. Aucun détail n'a été partagé sur l'exploitation de cette vulnérabilité, mais Dustin Childs de Zero Day Initiative spécule qu'elle est sûrement due « au chargement de code qui devrait être derrière un prompt, mais pour une raison quelconque, ce prompt n'apparaît pas, contournant ainsi cette mesure de sécurité ».

À noter que si les versions d'Excel pour macOS sont également touchées, il n'existe pour le moment pas de patch disponible pour celles-ci.

Microsoft Exchange encore touché

La deuxième zero-day activement exploitée, désignée comme étant la CVE-2021-42321, concerne Microsoft Exchange. Elle impacte Exchange Server 2016 et Exchange Server 2019. Cette vulnérabilité a notamment été utilisée lors de la Tianfu Cup, un concours de hacking chinois. Cette faille est une vulnérabilité d'exécution de code à distance et nécessite que l'attaquant soit authentifié pour pouvoir être exploitée. Cependant, au vu de son utilisation dans des attaques limitées, Microsoft demande à tous les admins de mettre à jour leurs serveurs Exchange le plus rapidement possible. Les entreprises qui utilisent Exchange Online ne sont pas concernées par cette vulnérabilité.

Parmi les quatre autres zero-day corrigées et non exploitées, deux concernent le protocole Bureau à distance et sont des vulnérabilités de divulgation d'informations. Les deux dernières sont présentes dans la visionneuse 3D et permettent de l'exécution de code à distance. Pour ces dernières, Microsoft précise que le correctif sera téléchargé automatiquement à partir du Microsoft Store si l'option n'a pas été désactivée.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
5
clockover
Bizarrement 365 n’est jamais concerné c’est pourtant bien de l’Exchange derrière.<br /> Deux options possibles:<br /> soit 365 est tout aussi concerné et ils mentent en affirmant que non.<br /> soit ils torpillent leur produit on-premise pour pousser à la bascule.<br />
SPH
J’aurais au moins appris ce qu’était une faille « zero-day »
sources
Je ne suis pas spécialiste, mais 365 est géré directement par Microsoft. Ils doivent donc appliquer assez rapidement les patchs qu’ils fournissent à tout le monde.
clockover
Sauf que la faille zero-day a forcément été exploitée avant qu’ils patchent l’ensemble de 365.<br /> Donc par transparence, ils devraient dire «&nbsp;365 est protégé depuis tel jour&nbsp;».
ti4444
oui et non si tu parle de la version web c’est évident mais il est possible d’installer office 365 en mode client lourd
Voir tous les messages sur le forum

Lectures liées

120 millions de dollars en crypto pour un braquage sans violence de la plateforme décentralisée BadgerDAO
VPN : CyberGhost, Surfshark ou NordVPN ? La sélection à lire pour faire votre choix !
La suite de cybersécurité Avast Ultimate à prix bas : l'idéal pour une protection complète et efficace
Peut-on interdire les mots de passe par défaut ? C'est ce que veut le gouvernement britannique
L'excellent antivirus optimisé Mac en promo : pourquoi Intego est un service indispensable ?
Surfshark VPN fait encore chuter ses tarifs, un service VPN performant à ne pas manquer !
Plusieurs montres connectées pour enfants présentent d’importants risques de sécurité
CyberGhost n'arrête plus de casser ses prix, faut-il craquer pour ce VPN au top ?
Plus de 150 000 cartes bancaires françaises trouvées en vente sur le dark web
Bitdefender poursuit les promos, un antivirus complet pour une protection efficace et abordable
Haut de page