Microsoft corrige six failles zero-day activement exploitées dans son Patch Tuesday

Publié le 09 juin 2021 à 11h40

Dans son dernier Patch Tuesday, Microsoft a corrigé plus de 50 vulnérabilités, dont six failles zero-day activement exploitées.

Parmi les 50 vulnérabilités corrigées, 5 sont considérées comme critiques, et les autres sont classées comme importantes.

Deux failles zero-day utilisées par un nouveau groupe de hackers

C'est en vérité sept zero-day qui ont été corrigées dans ce Patch Tuesday par Microsoft, mais l'une d'entre elles n'a pas été repérée comme ayant été utilisée dans des attaques. Il s'agit de la CVE-2021-31968, une vulnérabilité de déni de service dans la fonctionnalité « Bureau à distance ». Elle remonte à Windows 7 et avait déjà été dévoilée publiquement sans être utilisée par la suite. Il reste toutefois plus prudent d'appliquer les correctifs.

Au contraire, deux autres sont actuellement utilisées par un nouveau groupe appelé PuzzleMaker. Découverts par Kapersky, ces hackers utilisent en premier lieu une faille zero-day présente dans V8, le moteur JavaScript de Google Chrome, pour accéder au système. Par la suite, ils utilisent deux des failles corrigées ce mardi : la CVE-2021-31955, qui est une vulnérabilité de divulgation d'informations présente dans le noyau Windows, et la CVE-2021-31956, une vulnérabilité d'élévation de privilège dans Windows NTFS.

Une faille importante dans la plateforme MSHTML

Une autre d'entre elles, la CVE-2021-33742, concerne toutes les versions actuellement supportées de Windows. Elle est considérée comme critique et permet l'exécution de code à distance via la plateforme MSHTML. Cette plateforme avait été créée pour Internet Explorer, mais continue d'être utilisée aujourd'hui, notamment par le mode Internet Explorer dans Edge. Elle nécessite une interaction de l'utilisateur et peut donc être exploitée grâce à l'ouverture d'un fichier malveillant ou la visite d'une page web créée pour l'occasion.

Les trois dernières sont des vulnérabilités d'élévation de privilège : deux qui concernent Microsoft Enhanced Cryptographic Provider et une dans la bibliothèque principale de Microsoft DWM. Comme d'habitude, le mot d'ordre est d'appliquer les correctifs au plus vite, surtout pour les failles activement exploitées.

Sources : BleepingComputer, The Register

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Piratage

Microsoft

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Pronimo

Le mode internet explorer dans Edge… non mais internet explorer et son noyau devrais etre définitivement purgé de Windows. Mais bon je suppose qu’il y’a des toujours des entreprises avec leurs outils de dinosaures et qui ont en besoin :x

TNZ

Dans le monde professionnel, c’est Microsoft tout court qui devrait être purgé. Et à la place des produits M $, on prend des vrais informaticiens qui savent comment un ordinateur fonctionne et ils posent une infra logiciel d’exploitation de SI adaptée à l’entreprise et bien sûr sans fanfaronner sur internet histoire de ne pas dévoiler les éléments de leur stratégie de sécurité.

ch4kal

Mais oui, bien sûr !

ti4444

Ce qui pose le problème pas n’est Microsoft, mais tous les outils qui rendent indispensables Windows → Je pense aux formulaires PDF qui ne fonctionne que sous Windows / un certain nombre de démarches administrative ou pour commander chez des fournisseurs qui ne fonctionnent qu’avec des fichiers Office au format fermé etc…
Sinon c’est clair que les outils lourds tel que SAP ne devrait plus exister pour être remplacer par des applications full web et donc interopérables…

Messenger

Ni PDF, ni les formats Microsoft Office ne sont des formats fermés.
Et une application Web n’est en aucun cas plus interopérable qu’une autre…

Messenger

La sécurité par l’obscurité (qui à beaucoup été reprochée à tord à Microsoft) n’à jamais été une bonne stratégie.

Le fait fait de prévenir qu’une faille de sécurité est déjà exploitée, et qu’un correctif est déjà disponible me parait une démarche responsable.

Enfin… tout applicatif contient des imperfections, de sécurité ou non… quelque soit la qualité des développeurs.

Tout le monde n’a pas les équipes, les moyens ou la volonté de corriger rapidement les problèmes…

TNZ

Ok, pourquoi alors les correctifs sont ils disponibles en quelques heures sur une Debian alors qu’on peut aller à plusieurs jours, voire années chez Microsoft ?

TNZ

Les formulaires PDF fonctionnent dans Okular (lecteur PDF dans KDE Plasma).

Quant aux documents Office, LibreOffice les gère très proprement en regard de la documentation officielle des formats de fichiers fournis par Microsoft. D’ailleurs j’utilise régulièrement LibreOffice sous Windows et sous Linux pour rattraper par les cheveux des documents construits à la truelle que MS Office (2016 ou pro 3615) n’arrive même plus à ouvrir.

Messenger

Etant utilisateur quotidien de Debian… et attentif aux annonces de correctifs je ne serais pas si affirmatif que vous sur le sujet…

TNZ

Utilisateur de Debian et dérivés depuis plus de 10 ans, j’ai pris l’habitude de faire les mises à jour en automatique et de manière quotidienne.
Un exemple, l’année dernière, le correctif de la faille du sudo était disponible 2 à 3 heures après l’annonce dans les dépôts Debian. Le même côté Red Hat est arrivé … 3 semaines plus tard. Entre ces 2 distribs, les enjeux industriels et le pilotage de projet ne sont pas comparables et probablement à l’origine de cette différence de temps de publication.