Vulnérabilités dans plusieurs produits Microsoft
Date de publication :
CVE-2021-26429 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Azure Sphere. Son exploitation peut permettre à un attaquant local et authentifié d’élever ses privilèges
CVE-2021-26433, CVE-2021-36926, CVE-2021-36932, CVE-2021-36933 [Scores CVSS v3 : 7.5]
Une vulnérabilité au sein du pilote NFS ONCRPC XDR de Windows. Son exploitation peut permettre à un attaquant distant et non authentifié d’accéder à des informations sensibles non spécifiées.
CVE-2021-34478 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Office. Son exploitation peut permettre à un attaquant local et non authentifié de piéger un fichier compatible avec la suite Office. Le code malveillant de ce fichier sera exécuté si un utilisateur légitime ouvre celui-ci.
CVE-2021-36941 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Word. Son exploitation peut permettre à un attaquant local et non authentifié de piéger un fichier compatible avec le logiciel. Le code malveillant de ce fichier sera exécuté si un utilisateur légitime ouvre celui-ci.
CVE-2021-36949 [Score CVSS v3 : 7.1]
Une vulnérabilité au sein de Microsoft Azure Active Directory Connect. Son exploitation peut permettre à un attaquant ayant accès au réseau de l'application et authentifié de contourner l’authentification requise.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Elévation de privilèges
Atteinte à la confidentialité des données
Exécution de code arbitraire
Contournement d’authentification
Violation des politiques de données
Criticité
-
Scores CVSS v3 : 7.8 max
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
-
Microsoft Azure Sphere
Microsoft 365 Apps pour Enterprise pour 64 bits Systems
Microsoft 365 Apps pour Enterprise pour systèmes 32 bits
Microsoft Azure Active Directory Connect 1.X.Y.Z
Microsoft Azure Active Directory Connect 2.0.X.Y
Microsoft Office 2019 pour Mac
Microsoft Office 2019 pour éditions 32 bits
Microsoft Office 2019 pour éditions 64 bits
Remote Desktop client pour Windows Desktop
Windows 10 Version 1607 pour systèmes 32 bits
Windows 10 Version 1607 pour systèmes x64
Windows 10 Version 1809 pour ARM64-based Systems
Windows 10 Version 1809 pour systèmes 32 bits
Windows 10 Version 1809 pour systèmes x64
Windows 10 Version 1909 pour ARM64-based Systems
Windows 10 Version 1909 pour systèmes 32 bits
Windows 10 Version 1909 pour systèmes x64
Windows 10 Version 2004 pour ARM64-based Systems
Windows 10 Version 2004 pour systèmes 32 bits
Windows 10 Version 2004 pour systèmes x64
Windows 10 Version 20H2 pour ARM64-based Systems
Windows 10 Version 20H2 pour systèmes 32 bits
Windows 10 Version 20H2 pour systèmes x64
Windows 10 Version 21H1 pour ARM64-based Systems
Windows 10 Version 21H1 pour systèmes 32 bits
Windows 10 Version 21H1 pour systèmes x64
Windows 10 pour systèmes 32 bits
Windows 10 pour systèmes x64
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows 8.1 pour systèmes 32 bits
Windows 8.1 pour systèmes x64
Windows RT 8.1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (Server Core installation)
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (Server Core installation)
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
Windows Server, version 20H2 (Server Core Installation)
Windows Update Assistant
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les dispositifs impactées conformément aux instructions de l’éditeur Microsoft.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.