Dans sa liste de correctifs d’avril, Microsoft a déployé des correctifs pour un total de 114 failles de sécurité, y compris un zero-day activement exploité et quatre bogues d’exécution de code à distance dans Exchange Server.

Du 114 défauts, 19 sont classés comme critiques, 88 sont classés comme importants et un est de gravité modérée.

Le chef parmi eux est CVE-2021-28310, une vulnérabilité d’escalade de privilèges dans Win32k qui serait sous exploitation active, permettant aux attaquants d’élever les privilèges en exécutant un code malveillant sur un système cible.

La société de cybersécurité Kaspersky, qui a découvert et signalé la faille à Microsoft en février, a lié l’exploit zero-day à un acteur menaçant nommé Bitter APT, qui a été découvert en train d’exploiter une faille similaire (CVE-2021-1732) lors d’attaques à la fin de l’année dernière.

auditeur de mot de passe

“Il s’agit d’un exploit d’escalade de privilèges (EoP) qui est probablement utilisé avec d’autres exploits de navigateur pour échapper aux bacs à sable ou obtenir des privilèges système pour un accès supplémentaire”, Boris Larin, chercheur chez Kaspersky mentionné.

NSA a détecté de nouveaux bogues affectant Exchange Server

Microsoft a également corrigé quatre failles d’exécution de code à distance (RCE) (CVE-2021-28480 à CVE-2021-28483) affectant Serveurs Exchange sur site 2013, 2016 et 2019 qui ont été signalés à l’entreprise par la National Security Agency (NSA) des États-Unis. Deux des bogues d’exécution de code ne sont pas authentifiés et ne nécessitent aucune interaction de l’utilisateur, et portent un score CVSS de 9,8 sur un maximum de 10.

Bien que le fabricant de Windows ait déclaré n’avoir trouvé aucune preuve d’exploits actifs dans la nature, il est recommandé aux clients d’installer ces mises à jour dès que possible pour sécuriser l’environnement, à la lumière des hacks généralisés d’Exchange Server le mois dernier et des nouvelles découvertes selon lesquelles les attaquants sont tenter d’exploiter l’exploit ProxyLogon pour déployer des cryptomineurs malveillants sur les serveurs Exchange, la charge utile étant hébergée sur un serveur Exchange compromis.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a également modifié la directive d’urgence qu’elle a publiée le mois dernier, déclarant que “ces vulnérabilités posent un risque inacceptable pour l’entreprise fédérale et nécessitent une action immédiate et d’urgence”, tout en avertissant que les failles sous-jacentes peuvent être militarisées par une ingénierie inverse du correctif pour créer un exploit.

Le FBI a supprimé les portes dérobées des serveurs MS Exchange piratés

De plus, le Federal Bureau of Investigation (FBI) des États-Unis a mené une «action réussie» pour «copier et supprimer» des web shells plantés par des adversaires sur des centaines d’ordinateurs victimes utilisant les failles ProxyLogon. Le FBI aurait effacé les coques Web qui avaient été installées par Hafnium et qui auraient pu être utilisées pour maintenir et augmenter l’accès persistant et non autorisé aux réseaux américains.

auditeur de mot de passe

“Le FBI a procédé à la suppression en émettant une commande via le shell Web vers le serveur, qui a été conçu pour que le serveur ne supprime que le shell Web (identifié par son chemin de fichier unique)”, a déclaré le ministère de la Justice mentionné dans une déclaration détaillant l’opération autorisée par le tribunal.

27 Failles RCE dans Windows RPC et autres correctifs

Microsoft a également déclaré que quatre vulnérabilités supplémentaires étaient publiquement connues au moment de la publication, mais non exploitées –

  • CVE-2021-28458 – Vulnérabilité d’élévation de privilège dans la bibliothèque Azure ms-rest-nodeauth
  • CVE-2021-27091 – Vulnérabilité d’élévation de privilège du service de mappage de points de terminaison RPC
  • CVE-2021-28437 – Vulnérabilité de divulgation d’informations dans Windows Installer
  • CVE-2021-28312 – Vulnérabilité de déni de service Windows NTFS

En outre, la mise à jour du Patch Tuesday d’avril corrige également 27 failles RCE dans le runtime RPC (Remote Procedure Call), une vulnérabilité de contournement de la fonction de sécurité Hyper-V (CVE-2021-28444) et plusieurs failles d’escalade de privilèges dans Windows Speech Runtime, Windows Application Services et contrôleur, Mode noyau sécurisé Windows, Suivi des événements Windows et Windows Installer.

Correctifs logiciels d’autres fournisseurs

Outre Microsoft, un certain nombre d’autres fournisseurs ont également publié une multitude de correctifs mardi –



Leave a Reply