Vulnérabilités dans plusieurs produits Microsoft
Date de publication :
Microsoft a publié son avis de sécurité mensuel où l’éditeur corrige un grand nombre de vulnérabilités présentant un niveau de risque élevé sur différents logiciels.
Les six premières vulnérabilités impactent le navigateur Chromium sur lequel se base notamment Microsoft Edge et Google Chrome.
CVE-2021-21194 [Score CVSS v3 : 8.8]
Une vulnérabilité de type use-after-free dans l’option de partage d'écran dans Chromium (base notamment de Microsoft Edge) a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.
CVE-2021-21195 [Score CVSS v3 : 8.8]
Une vulnérabilité de type ‘use after free’ dans le moteur Javascript V8 au sein de Chromium a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.
CVE-2021-21196 [Score CVSS v3 : 8.8]
Une vulnérabilité de type débordement de tas dans le module “TabStrip” au sein de Chromium a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.
CVE-2021-21197 [Score CVSS v3 : 8.8]
Une vulnérabilité de type débordement de tas dans le module “TabStrip” au sein de Chromium a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.
CVE-2021-21198 [Score CVSS v3 : 7.4]
Une vulnérabilité permettant une lecture hors limite dans l’IPC au sein de Chromium a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.
CVE-2021-21199 [Score CVSS v3 : 8.8]
Une vulnérabilité de type ‘use after free’ a été corrigée dans l’extension “Aura” au sein de Chromium. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.
CVE-2021-26416 [Score CVSS v3 : 7.7]
Une vulnérabilité au sein de Windows Hyper-V a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié de provoquer un déni de service sur le dispositif vulnérable.
CVE-2021-27095, CVE-2021-28315 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Windows Media Video Decoder a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'injecter du code arbitraire au sein d’un fichier média afin qu’il soit exécuté par un utilisateur non averti.
CVE-2021-28324 [Score CVSS v3 : 7.8]
Une vulnérabilité au niveau de l'implémentation dans le protocole SMB au sein des systèmes Windows a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’exposer des informations potentiellement sensibles.
CVE-2021-28449 [Score CVSS v3 : 7.5]
Une vulnérabilité au sein de Microsoft Office a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un fichier spécialement conçu afin qu’il soit exécuté par un utilisateur non averti.
CVE-2021-28453 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Word a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un fichier spécialement conçu afin qu’il soit exécuté par un utilisateur non averti.
CVE-2021-28451, CVE-2021-28454 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Excel a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un fichier spécialement conçu afin qu’il soit exécuté par un utilisateur non averti.
CVE-2021-28460 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Azure Sphere a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’exécuter du code arbitraire non signé au sein d'un dispositif vulnérable.
CVE-2021-28464 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein des extensions vidéo VP9 a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'injecter du code arbitraire au sein d’un fichier média afin qu’il soit exécuté par un utilisateur non averti.
CVE-2021-28466, CVE-2021-28468 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de l’extension “Raw Image” a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'injecter du code arbitraire au sein d’un fichier média afin qu’il soit exécuté par un utilisateur non averti.
CVE-2021-28480 [Score CVSS v3 : 9.8]
Une vulnérabilité au sein de Microsoft Exchange Server a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'injecter du code arbitraire au sein du dispositif vulnérable.
CVE-2021-28481 [Score CVSS v3 : 9.8]
Une vulnérabilité au sein de Microsoft Exchange Server a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'injecter du code arbitraire au sein du dispositif vulnérable.
CVE-2021-28482 [Score CVSS v3 : 8.8]
Une vulnérabilité au sein de Microsoft Exchange Server a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d'injecter du code arbitraire au sein du dispositif vulnérable.
CVE-2021-28483 [Score CVSS v3 : 9.0]
Une vulnérabilité au sein de Microsoft Exchange Server a été corrigée. Son exploitation peut permettre à un attaquant ayant accès au réseau local et non authentifié d'injecter du code arbitraire au sein du dispositif vulnérable.
CVE-2021-28310 [Score CVSS v3 : 7.8]
Une vulnérabilité permettant une élévations de privilèges dans Microsoft Desktop Window Manager a été corrigée. Un attaquant doit d'abord obtenir la possibilité d'exécuter du code à faible privilège sur le système cible afin d'exploiter cette vulnérabilité. La faille spécifique existe dans le pilote win32kfull.sys. Le problème résulte du déréférencement d'un pointeur NULL. Un attaquant local et authentifié peut exploiter cette vulnérabilité pour élever ses privilèges et exécuter du code arbitraire avec les privilèges SYSTEM.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Injection de code arbitraire
Exécution de code arbitraire
Déni de service
Exposition d’informations sensibles
Criticité
-
Scores CVSS v3 : 9.8 max
Existence d’un code d’exploitation
La CVE-2021-28310 est signalée par Microsoft et SecureList comme activement exploitée. Des détails techniques concernant cette faille sont disponibles dans un article SecureList en référence de ce bulletin.
Bien qu’aucun code d’exploitation ne soit encore disponible pour le reste des vulnérabilités présentées ici, Microsoft estime que l’exploitation des failles suivantes est probable.
-
La CVE-2021-28324 impactant le protocole SMB sur Windows
CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483 Impactant les serveurs Microsoft Exchange
Ces vulnérabilités sont exploitables à distance (sauf pour la CVE-2021-28483) et ne nécessitent pas d’authentifications préalables (sauf pour la CVE-2021-28482), la recherche de moyen d’exploitation est ainsi effectivement probable.
Au regard des dernières campagnes d’attaques utilisant les vulnérabilités Microsoft Exchange publiées en mars dernier, la cellule ACSS et le CERT Santé recommande fortement de prioriser la mise à jour des dispositifs affectés par ces cinq vulnérabilités.
Un guide Microsoft permettant de s'assurer de l'absence de risque sur les infrastructures Microsoft Exchange est notamment disponible en référence de ce bulletin
Composants vulnérables
-
SharePoint Server 2019
Windows Server version 1909
Windows Server 2004
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server version 20H2
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10 version 1607
Windows 10 version 1809
Windows 10 version 1909
Windows 10 version 2004
Windows 10 version 20H2
Azure DevOps Server 2019 Update 1
Azure DevOps Server 2019 Update 1.1
Azure DevOps Server 2019.0.1
Azure DevOps Server 2020
Azure DevOps Server 2020.0.1
Azure Sphere
Microsoft 365 Apps pour Enterprise pour 64 bits Systems
Microsoft 365 Apps pour Enterprise pour systèmes 32 bits
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2016 Cumulative Update 20
Microsoft Exchange Server 2019 Cumulative Update 8
Microsoft Exchange Server 2019 Cumulative Update 9
Microsoft Visual Studio 2015 Update 3
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 - 15.8)
Microsoft Visual Studio 2019 version 16.4 (includes 16.0 - 16.3)
Microsoft Visual Studio 2019 version 16.7 (includes 16.0 – 16.6)
Microsoft Visual Studio 2019 version 16.9 (includes 16.0 - 16.8)
Raw Image Extension
Team Foundation Server 2015 Update 4.2
Team Foundation Server 2017 Update 3.1
Team Foundation Server 2018 Update 1.2
Team Foundation Server 2018 Update 3.2
VP9 Video Extensions
Visual Studio Code
Visual Studio Code - GitHub Pull Requests and Issues Extension
Visual Studio Code - Kubernetes Tools
Visual Studio Code - Maven pour Java Extension
Microsoft Desktop Window Manager
Microsoft Edge antérieures à la version 89.0.774.68.
CVE
- CVE-2021-28483
CVE-2021-28482
CVE-2021-28481
CVE-2021-28480
CVE-2021-28468
CVE-2021-28466
CVE-2021-28464
CVE-2021-28460
CVE-2021-28456
CVE-2021-28454
CVE-2021-28453
CVE-2021-28452
CVE-2021-28451
CVE-2021-28449
CVE-2021-28446
CVE-2021-28444
CVE-2021-28442
CVE-2021-28441
CVE-2021-28437
CVE-2021-28435
CVE-2021-28328
CVE-2021-28325
CVE-2021-28324
CVE-2021-28323
CVE-2021-28318
CVE-2021-28317
CVE-2021-28315
CVE-2021-28309
CVE-2021-27095
CVE-2021-27093
CVE-2021-27079
CVE-2021-27067
CVE-2021-26417
CVE-2021-26416
CVE-2021-21199
CVE-2021-21198
CVE-2021-21197
CVE-2021-21196
CVE-2021-21195
CVE-2021-21194
CVE-2021-28310
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels vulnérables conformément aux instructions de Microsoft.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.
Liens
- Microsoft April 2021 Security Updates - Release Notes - Security Update Guide
- Guide Microsoft : Exchange Server Security Updates
- NVD CVE-2021-21194
- NVD CVE-2021-21195
- NVD CVE-2021-21196
- NVD CVE-2021-21197
- NVD CVE-2021-21198
- NVD CVE-2021-21199
- NVD CVE-2021-26416
- NVD CVE-2021-27095
- NVD CVE-2021-28315
- NVD CVE-2021-28324
- NVD CVE-2021-28449
- NVD CVE-2021-28453
- NVD CVE-2021-28451
- NVD CVE-2021-28454
- NVD CVE-2021-28460
- NVD CVE-2021-28464
- NVD CVE-2021-28466
- NVD CVE-2021-28468
- NVD CVE-2021-28480
- NVD CVE-2021-28481
- NVD CVE-2021-28482
- NVD CVE-2021-28483
- NVD CVE-2021-28310