Microsoft a publié mardi une autre série de mises à jour de sécurité pour les systèmes d’exploitation Windows et autres logiciels pris en charge, écrasant 50 vulnérabilités, dont 6 zero-days qui seraient sous attaque active.
Les failles ont été identifiées et résolues dans Microsoft Windows, .NET Core et Visual Studio, Microsoft Office, Microsoft Edge (basé sur Chrome et EdgeHTML), SharePoint Server, Hyper-V, Visual Studio Code – Kubernetes Tools, Windows HTML Platform et Windows Bureau à distance.
Sur ces 50 bogues, cinq sont classés Critiques et 45 sont classés Importants en termes de gravité, trois des problèmes étant publiquement connus au moment de la publication. Les vulnérabilités activement exploitées sont répertoriées ci-dessous –
- CVE-2021-33742 (score CVSS : 7,5) – Vulnérabilité d’exécution de code à distance de la plate-forme Windows MSHTML
- CVE-2021-33739 (score CVSS : 8,4) – Vulnérabilité d’élévation des privilèges de la bibliothèque principale Microsoft DWM
- CVE-2021-31199 (score CVSS : 5.2) – Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerability
- CVE-2021-31201 (score CVSS : 5.2) – Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerability
- CVE-2021-31955 (score CVSS : 5.5) – Vulnérabilité de divulgation d’informations sur le noyau Windows
- CVE-2021-31956 (score CVSS : 7,8) – Vulnérabilité d’élévation des privilèges de Windows NTFS
Microsoft n’a pas divulgué la nature des attaques, leur étendue ou l’identité des acteurs de la menace qui les exploitent. Mais le fait que quatre des six failles soient des vulnérabilités d’escalade de privilèges suggère que les attaquants pourraient les exploiter dans le cadre d’une chaîne d’infection pour obtenir des autorisations élevées sur les systèmes ciblés afin d’exécuter du code malveillant ou de divulguer des informations sensibles.
Le fabricant de Windows a également noté que CVE-2021-31201 et CVE-2021-31199 corrigent des failles liées à CVE-2021-28550, une vulnérabilité d’exécution de code arbitraire rectifiée par Adobe le mois dernier qui, selon lui, était « exploitée à l’état sauvage dans attaques ciblant les utilisateurs d’Adobe Reader sous Windows. »
Le groupe d’analyse des menaces de Google, qui a été reconnu comme ayant signalé CVE-2021-33742 à Microsoft, mentionné « cela semble[s] être une société d’exploitation commerciale offrant une capacité de ciblage limité aux États-nations d’Europe de l’Est et du Moyen-Orient. »
La société de cybersécurité russe Kaspersky, pour sa part, a détaillé que CVE-2021-31955 et CVE-2021-31956 ont été abusés dans une chaîne d’exploitation Chrome Zero-day (CVE-2021-21224) dans une série d’attaques très ciblées contre plusieurs entreprises sur 14 et 15 avril. Les intrusions ont été attribuées à un nouvel acteur de menace surnommé « PuzzleMaker ».
« Bien que nous n’ayons pas été en mesure de récupérer l’exploit utilisé pour l’exécution de code à distance (RCE) dans le navigateur Web Chrome, nous avons pu trouver et analyser un exploit d’élévation de privilèges (EoP) qui a été utilisé pour échapper au bac à sable et obtenir des privilèges système. « , les chercheurs de Kaspersky Lab mentionné.
Ailleurs, Microsoft a corrigé de nombreuses vulnérabilités d’exécution de code à distance couvrant Paint 3D, Microsoft SharePoint Server, Microsoft Outlook, Microsoft Office Graphics, Microsoft Intune Management Extension, Microsoft Excel et Microsoft Defender, ainsi que plusieurs failles d’escalade de privilèges dans Microsoft Edge, Windows Filter Manager , noyau Windows, pilote en mode noyau Windows, élévation Windows NTLM et spouleur d’impression Windows.
Pour installer les dernières mises à jour de sécurité, les utilisateurs de Windows peuvent accéder à Démarrer > Paramètres > Mise à jour et sécurité > Windows Update ou en sélectionnant Rechercher les mises à jour Windows.
Correctifs logiciels d’autres fournisseurs
Aux côtés de Microsoft, un certain nombre d’autres fournisseurs ont également publié une multitude de correctifs mardi, notamment –