Microsoft corrige quatre bogues critiques sur patch plus léger mardi

Dans une baisse plus légère que d’habitude patch mardi, Microsoft a fixé un total de 55 vulnérabilités et expositions courantes (CVE), quatre d’entre eux classés critiques par Microsoft, et y compris trois jours encore inexploités zéro.

Toutefois, il est pratiquement certain que les acteurs malveillants porteront une attention particulière aux nouvelles divulgations et que l’exploitation dans la nature suivra dans un court laps de temps, de sorte que l’application des correctifs devrait être priorisé.

Nicholas Colyer, directeur marketing produit senior chez Automox, spécialiste de l’automatisation des correctifs, a résumé la publication de mai : « Le patch de mai de Microsoft a enregistré mardi 55 corrections de sécurité contre 108 au mois d’avril. Nous suivons actuellement quatre vulnérabilités critiques, dont aucune n’est exploitée dans la nature au meilleur de nos connaissances et de nos communications avec les fournisseurs.

« Bien que cela puisse être vrai pour Microsoft, il existe plusieurs vulnérabilités liées au navigateur qui devraient être traitées immédiatement avec Chrome et Firefox. Dans les nouvelles, les attaques du groupe de pirates DarkSide sur l’infrastructure des pipelines commerciaux démontrent la vitalité de l’hygiène de la cybersécurité en raison du fait que l’assaut a perturbé 46% de la chaîne d’approvisionnement en carburant de la côte Est.

Les quatre CVE critiques auxquelles il convient d’accorder une attention particulière sont toutes les vulnérabilités d’exécution de code à distance (RCE) qui pourraient permettre aux acteurs malveillants de gagner en persistance sur les réseaux de victimes. Il s’est été le CVE-2021-26419, le CVE-2021-31166, le CVE-2021-31194 et le CVE-2021-28476.

Le premier d’entre eux est une vulnérabilité de corruption de la mémoire du moteur de script qui affecte les versions 11 et 9 d’Internet Explorer en cours d’exécution sur plusieurs versions de Microsoft Windows et Windows Server. Il est exploitable en leurre la victime sur un site web spécialement conçu.

Le second est une vulnérabilité RCE de pile de protocole HTTP vermifuge affectant Windows 10 32- et 64-bit et quelques éditions de Windows Server, qui peuvent être exploitées pour envoyer un paquet spécialement conçu au serveur victime en utilisant la pile de protocole HTTP (http.sys) pour prendre le contrôle du système.

Le troisième, une vulnérabilité d’automatisation microsoft Windows Object Linking and Embedding (OLE), est également exploitable via un site Web spécialement conçu pour invoquer l’automatisation OLE via un navigateur Web.

Le quatrième CVE critique existe dans Microsoft Windows Hyper-V, et est exploitable en exécutant une application spécialement conçue sur un client Hyper-V qui provoque le système d’exploitation hôte Hyper-V pour exécuter le code arbitraire quand il ne parvient pas à valider les données de paquets vSMB correctement. Il affecte une longue liste de versions Windows et Windows Server.

La version contenait également des correctifs pour quatre nouvelles vulnérabilités dans Microsoft Exchange Server, qui a été attaqué presque constamment par divers groupes depuis la publication d’un patch hors bande d’urgence en mars 2021.

En ce qui concerne les derniers CVE Exchange Server, Satnam Narang, ingénieur de recherche personnel tenable, a déclaré : « Les défauts, qui incluent CVE-2021-31198, CVE-2021-31207, CVE-2021-31209 et CVE-2021-31195, sont tous classés importants ou modérés. CVE-2021-31195 est attribué à Orange Tsai de l’équipe de recherche DEVCORE, qui était responsable de la divulgation de la vulnérabilité proxylogon exchange server qui a été patchée dans une version hors bande en mars.

« Bien qu’aucune de ces failles ne soit jugée critique, cela nous rappelle que les chercheurs et les attaquants continuent de surveiller de près Exchange Server pour trouver des vulnérabilités supplémentaires, de sorte que les organisations qui n’ont pas encore mis à jour leurs systèmes devraient le faire dès que possible », a déclaré Narang.

En ce qui concerne les bogues Exchange, Allan Liska d’Recorded Future a spécifiquement noté le CVE-2021-31207, une vulnérabilité de contournement de sécurité dans les versions Microsoft Exchange 2013 à 2019, comme une vulnérabilité à surveiller.

« Microsoft évalue cette vulnérabilité comme modérée, il n’est donc pas critique, mais cette même vulnérabilité a été exploitée dans la récente Pwn2Own hack concurrence, il vaut donc la peine de patcher immédiatement et de garder un œil sur elle d’être exploité dans la nature. Cela dit, aucun code d’exploitation de preuve de concept n’a été publié par les participants de Pwn2Own », a déclaré Liska.

Liska a également noté quelques autres curiosités dans la baisse de mai, y compris trois vulnérabilités de divulgation d’informations ou d’usurpation contre Windows Wireless Networking, CVE-2020-26144, CVE-2020-24588, et CVE-2020-24587 respectivement. Ils sont tous classés importants par Microsoft et affectent Windows 7 à 10, et Windows Server 2008 à 2019.

« Ce ne sont pas les plus grandes menaces ce mois-ci, mais elles sont intéressantes. Microsoft n’a pas vu une usurpation ou une vulnérabilité de divulgation d’informations dans sa pile de réseau sans fil depuis des années. Il sera intéressant de voir si ces vulnérabilités sont finalement exploitées», a-t-il dit.