À l’occasion de la publication de son Patch Tuesday de novembre 2021, Microsoft a corrigé 55 vulnérabilités dont 6 classées comme critiques et 6 déjà signalées comme des Zero-Day.
Vulnérabilités Microsoft critiques corrigées
CVE-2021-42298 – Vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Defender
Cette vulnérabilité qui affecte Microsoft Defender peut être exploitée en diffusant des fichiers malveillants. Cette vulnérabilité RCE sera déclenchée lorsque le fichier malveillant sera ouvert par un utilisateur ou analysé automatiquement depuis une version désuète de Microsoft Defender.
CVE-2021-42279 – Vulnérabilité de corruption de mémoire dans le moteur de script Chakra
La vulnérabilité de débordement de tampon est liée à un bug dans le moteur de script Chakra qui permet à des attaquants distants d’exécuter du code arbitraire en initialisant une corruption de mémoire.
CVE-2021-42316 – Vulnérabilité RCE dans Microsoft Dynamics 365 (on-premises)
Cette vulnérabilité est un bug avec exécution de code à distance dans les configurations Microsoft Dynamics déployées sur site (on-premises). Très peu d’informations publiques sont disponibles concernant cette vulnérabilité.
CVE-2021-26443 – Vulnérabilité RCE dans le composant Microsoft Virtual Machine Bus (VMBus)
Cette vulnérabilité se produit lorsqu’un invité VM ne parvient pas à traiter la communication sur un canal VMBus. Un utilisateur authentifié peut exploiter cette vulnérabilité en envoyant une communication malveillante sur le canal VMBus depuis l’invité à l’hôte, ce qui permet à l’attaquant d’exécuter du code arbitraire sur le serveur.
CVE-2021-3711 – OpenSSL : débordement de tampon de déchiffrement de la fonction SM2
Il s’agit d’une vulnérabilité de débordement de tampon dans le logiciel OpenSSL qui est intégré à Microsoft Visual Studio. Cette vulnérabilité est liée à un problème de calcul dans la taille du tampon dans la fonction SM2 d’OpenSSL. Un attaquant peut exploiter cette vulnérabilité pour planter l’application et exécuter potentiellement du code arbitraire avec la permission de l’utilisateur d’exécuter l’application.
CVE-2021-38666 – Vulnérabilité RCE sur le client Bureau à distance
Cette vulnérabilité sur les clients du service Bureau à distance peut être exploitée par un attaquant qui contrôle un serveur de ce service. L’attaquant peut manipuler un utilisateur pour qu’il se connecte au serveur du service Bureau à distance compromis/malveillant, ce qui entraîne une RCE.
Autres vulnérabilités activement exploitées et donc hautement prioritaires :
CVE-2021-42321 – Vulnérabilité RCE dans Microsoft Exchange Server
Cette vulnérabilité activement exploitée affecte Microsoft Exchange Server 2019 et Microsoft Exchange Server 2016. Il s’agit d’une vulnérabilité post-authentification qui permet d’exécuter du code. Microsoft fournit des détails supplémentaires dans un article de blog public.
CVE-2021-42292 – Vulnérabilité de contournement de la fonction de sécurité dans Microsoft Excel
Cette vulnérabilité peut être exploitée via un fichier malveillant qui permet à un attaquant d’exécuter du code. Elle affecte à la fois les versions Windows et MacOS, sachant qu’un correctif n’est pas encore disponible pour MacOS.
Détails sur 4 des 6 vulnérabilités Zero-Day :
CVE-2021-43208 – Vulnérabilité RCE dans 3D Viewer
CVE-2021-43209 – Vulnérabilité RCE dans 3D Viewer
CVE-2021-38631 – Vulnérabilité de divulgation d’informations dans le protocole Remote Desktop Protocol (RDP) de Windows
CVE-2021-41371 – Vulnérabilité de divulgation d’informations dans le protocole – Remote Desktop Protocol (RDP) de Windows
(Par Ankit Malhotra, Chercheur, Qualys Lab)