Vulnérabilités dans Microsoft (Patch Tuesday du 10 Novembre 2021)

Date de publication : 29/09/2022

Le mercredi 10 novembre, Microsoft Windows a publié le patch Tuesday. Il s’agit d’une collection de correctifs concernant plus d’une cinquantaine de vulnérabilités. Dans cette collection, 11 vulnérabilités concernent Windows 7, 13 vulnérabilités concernent Windows 8.1 et 22 concernent Windows 10 v1909. Ce bulletin présente uniquement les vulnérabilités les plus importantes, elles sont classées selon les risques respectifs.

CVE-2021-42283[Score CVSS v3.1: 8.8]

Les experts en cyber sécurité de Microsoft ont identifié une vulnérabilité du type « élévation de privilège » dans le système d’exploitation Windows. Plus précisément, il s’agit d’une faille qui se situe au niveau du système de fichier NTFS (New Technology File System). Un attaquant distant et authentifié pourrait exploiter cette vulnérabilité, afin d’élever ses privilèges. Cette vulnérabilité ne semble pas être exploitée pour le moment. Des informations spécifiques qui sont partagé par l'éditeur au sujet de cette vulnérabilité sont disponible ici.

CVE-2021-42321[Score CVSS v3.1: 8.8]

Les experts en cyber sécurité de Microsoft, avec la collaboration de plusieurs chercheurs participant à la compétition Tianfu Cup 2021, ont identifiés une vulnérabilité du type « exécution de code arbitraire » dans le serveur Microsoft Exchange 2016 et 2019. Les détails techniques de l’exploitation ne sont pas publiquement disponibles pour le moment. Un attaquant distant et authentifié pourrait exploiter cette vulnérabilité dans le but d’exécuter du code arbitraire. Un accomplissement de cet exploit permet à l’attaquant de s’octroyer les privilèges d’administration du domaine Active Directory. Attention, cette vulnérabilité est activement exploitée. Elle concerne précisément les serveurs Microsoft Exchange 2019 CU10 et CU11, et Microsoft Exchange 2016 CU21 et CU22. Des informations spécifiques qui sont partagé par l'éditeur au sujet de cette vulnérabilité sont disponible ici.

CVE-2021-42292[Score CVSS v3.1: 7.8]

Des chercheurs ont découvert une vulnérabilité du type « contournement de sécurité » dans l'outil Excel disponible dans les produits Microsoft Office et Microsoft 365. Les chercheur ont constaté qu'une feuille Excel forgée pouvait déclencher un téléchargement d'une autre feuille Excel. Cette seconde feuille est par la suite exécutée avec les privilèges les plus élevés. Un attaquant pourrait exploiter cette vulnérabilité, en utilisant des feuilles Excel malveillantes, pour contourner la sécurité et profiter d'une élévation de privilège. Attention, en ce moment cette vulnérabilité semble être exploitée. Elle concerne précisément les produits Microsoft Office 2013, 2016, 2019 et LTSC 2021, ainsi que Microsoft 365. Des informations spécifiques qui sont partagées par l'éditeur au sujet de cette vulnérabilité sont disponible ici. En plus du Patch Tuesday qui permet de corriger cette vulnérabilité, des informaticiens de la communauté GitHub ont réalisé un dispositif qui permet de détecter l'exécution malveillante, celui-ci est disponible ici.

Les autres vulnérabilités importantes sont les suivantes :

CVE-2021-42283 CVE-2021-42285 CVE-2021-41367 CVE-2021-42286 CVE-2021- 42287

[Score CVSS v3.1: 8.8 / 8.3 / 8.3 / 8 .3 / 8.8 / 7,5]

Ces vulnérabilités concernent un risque d’élévation de privilèges.

CVE-2021-42321 CVE-2021-42275 CVE-2021-38666 CVE-2021-42298 CVE-2021-41378 CVE-2021-40442

[Score CVSS v3.1: 8.8 / 7.7 / 8.8 / 7.8 / 7.8 / 7.8]

Ces vulnérabilités concernent un risque d’exécution de code arbitraire.