Patch Tuesday : Microsoft corrige six failles zero-day, dont deux activement exploitées

Publié le 10 novembre 2021 à 10h25

Microsoft a sorti son Patch Tuesday de novembre, qui corrige un total de 55 vulnérabilités, dont deux failles zero-day activement exploitées.

Ces deux zero-day concernent Microsoft Exchange et Excel.

Une faille zero-day activement exploitée dans Microsoft Excel

Comme à chaque Patch Tuesday, Microsoft a détaillé les vulnérabilités corrigées. Cette fois-ci, l'entreprise a corrigé un total de 55 vulnérabilités. Parmi elles, six failles zero-day dont deux activement exploitées. Pour rappel, Microsoft classifie une vulnérabilité comme « zero-day » si elle est activement exploitée ou si elle a été dévoilée publiquement sans qu'un correctif soit disponible.

La première de ces zero-day exploitées, la CVE-2021-42292, a été découverte comme étant utilisée dans des attaques par le Microsoft Threat Intelligence Center et est présente dans Microsoft Excel. À cause d'un bug, il est possible pour un attaquant d'exécuter du code malveillant et de contourner les mesures de sécurité lorsqu'un utilisateur ouvre un fichier Excel spécialement créé. Aucun détail n'a été partagé sur l'exploitation de cette vulnérabilité, mais Dustin Childs de Zero Day Initiative spécule qu'elle est sûrement due « au chargement de code qui devrait être derrière un prompt, mais pour une raison quelconque, ce prompt n'apparaît pas, contournant ainsi cette mesure de sécurité ».

À noter que si les versions d'Excel pour macOS sont également touchées, il n'existe pour le moment pas de patch disponible pour celles-ci.

Microsoft Exchange encore touché

La deuxième zero-day activement exploitée, désignée comme étant la CVE-2021-42321, concerne Microsoft Exchange. Elle impacte Exchange Server 2016 et Exchange Server 2019. Cette vulnérabilité a notamment été utilisée lors de la Tianfu Cup, un concours de hacking chinois. Cette faille est une vulnérabilité d'exécution de code à distance et nécessite que l'attaquant soit authentifié pour pouvoir être exploitée. Cependant, au vu de son utilisation dans des attaques limitées, Microsoft demande à tous les admins de mettre à jour leurs serveurs Exchange le plus rapidement possible. Les entreprises qui utilisent Exchange Online ne sont pas concernées par cette vulnérabilité.

Parmi les quatre autres zero-day corrigées et non exploitées, deux concernent le protocole Bureau à distance et sont des vulnérabilités de divulgation d'informations. Les deux dernières sont présentes dans la visionneuse 3D et permettent de l'exécution de code à distance. Pour ces dernières, Microsoft précise que le correctif sera téléchargé automatiquement à partir du Microsoft Store si l'option n'a pas été désactivée.

Sources : BleepingComputer, Zero Day Initiative

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (3)

SPH

J’aurais au moins appris ce qu’était une faille « zero-day »

sources

Je ne suis pas spécialiste, mais 365 est géré directement par Microsoft. Ils doivent donc appliquer assez rapidement les patchs qu’ils fournissent à tout le monde.

ti4444

oui et non si tu parle de la version web c’est évident mais il est possible d’installer office 365 en mode client lourd