Novembre Patch Tuesday drop corrige les bogues dans Excel, Exchange Server

Lors d’un autre Patch Tuesday relativement léger, Microsoft a publié des correctifs pour un total de 55 vulnérabilités et expositions communes (CVE) nouvellement découvertes, six d’entre elles classées comme critiques et deux qui sont déjà exploitées publiquement.

Les deux CVE en question sont CVE-2021-42292, une vulnérabilité de contournement de la fonctionnalité de sécurité dans Microsoft Excel, et CVE-2021-42321, une vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Exchange Server. Les deux sont jugés importants, avec des scores CVSS de 7,8 et 8,8, respectivement.

« La vulnérabilité CVE-2021-42321 devrait être une préoccupation majeure », a déclaré Allan Liska, architecte de sécurité senior chez Recorded Future. « Cette vulnérabilité est activement exploitée dans la nature. Les vulnérabilités d’Exchange ont été particulièrement préoccupantes cette année.

« Les acteurs des États-nations chinois et les cybercriminels à l’origine du rançongiciel DearCry (également soupçonné d’opérer à partir de chine) ont exploité des vulnérabilités antérieures dans Microsoft Exchange (CVE-2021-26855 et CVE-2021-27065). Alors que Microsoft ne classe la vulnérabilité que comme « importante » parce qu’un attaquant doit être authentifié pour l’exploiter, Recorded Future a noté que l’obtention d’un accès légitime aux informations d’identification des systèmes Windows est devenue triviale pour les acteurs des États-nations et des cybercriminels. Cela devrait être priorisé pour l’application de correctifs.

« L’autre vulnérabilité exploitée dans la nature est CVE-2021-42292. Il s’agit d’une vulnérabilité de contournement de la fonctionnalité de sécurité pour Microsoft Excel pour les ordinateurs Windows et MacOS. Cette vulnérabilité affecte les versions 2013 à 2021.

Liska a ajouté: « Microsoft n’est pas clair dans sa description quelle fonctionnalité de sécurité est contournée par la vulnérabilité. Cependant, encore une fois, le fait qu’il soit exploité dans la nature est préoccupant et signifie qu’il devrait être priorisé pour le rapiécage. Microsoft Excel est une cible fréquente des attaquants des États-nations et des cybercriminels.

Les six vulnérabilités critiques sont répertoriées comme : CVE-2021-3711, qui est une faille de débordement de la mémoire tampon de déchiffrement dans OpenSSL ; CVE-2021-26443, une autre vulnérabilité RCE dans Microsoft Virtual Machine Bus ; CVE-2021-38666, une vulnérabilité RCE dans le client Bureau à distance ; CVE-2021-42270, une vulnérabilité de corruption de mémoire dans le moteur de script Chakra ; CVE-2021-42298, une vulnérabilité RCE dans Microsoft Defender ; et CVE-2021-42316, une autre vulnérabilité RCE dans Microsoft Dynamics 365.

Aucun des bogues énumérés ci-dessus n’est actuellement exploité dans la nature au moment de la rédaction de cet article, bien que cela puisse bien changer dans un court laps de temps, et de nombreux membres de la communauté de la sécurité soulèvent déjà des préoccupations, parmi lesquelles Danny Kim, architecte principal chez Virsec, qui a déclaré que la vulnérabilité Microsoft Defender était particulièrement inquiétante.

« Avec l’évaluation de l’exploitabilité de’ Exploitation plus probable ‘et le score de gravité et la répétabilité de cette attaque, je pense que ce CVE devrait être une priorité pour toutes les entreprises », a déclaré Kim à Computer Weekly dans des commentaires envoyés par courrier électronique.

« Windows Defender s’exécute sur toutes les versions prises en charge de Windows. Cette vulnérabilité augmente considérablement la surface d’attaque potentielle pour les organisations d’aujourd’hui en raison de la popularité de Windows Defender. Ce CVE nécessite une certaine interaction de l’utilisateur, mais nous avons vu dans le passé comment les attaquants peuvent utiliser l’ingénierie sociale / les e-mails de phishing pour réaliser une telle interaction assez facilement.

Jay Goodman d’Automox a signalé les vulnérabilités du moteur de script Chakra et de Microsoft Dynamics 365 comme remarquables.

« Le moteur de script Chakra est largement utilisé dans Microsoft Edge et les vulnérabilités RCE sont particulièrement sensibles étant donné qu’elles permettent aux attaquants d’exécuter directement du code malveillant sur les systèmes exploités », a-t-il déclaré. « Il est fortement recommandé aux administrateurs informatiques de corriger cette vulnérabilité dans les 72 heures afin de minimiser l’exposition aux auteurs de menaces.

« Microsoft Dynamics 365 est un outil de planification des ressources et de CRM de Microsoft et cette vulnérabilité est présente dans les versions 9.0 et 9.1 de leur option sur site. Les vulnérabilités d’exécution de code à distance sont particulièrement sensibles étant donné qu’elles permettent aux attaquants d’exécuter directement du code malveillant sur les systèmes exploités.

Goodman a ajouté : « Il est fortement recommandé aux administrateurs informatiques de corriger cette vulnérabilité dans les 72 heures afin de minimiser l’exposition aux acteurs de la menace, en particulier dans un outil ayant accès aux données sensibles des clients et de l’entreprise comme une solution CRM. »

Pendant ce temps, un autre Patch Tuesday plus léger que d’habitude a fait sourciller l’initiative Zero Day de Trend Micro, où le responsable de la communication Dustin Childs a suggéré que la tendance à la baisse pourrait être une source de préoccupation.

« Historiquement parlant, 55 patchs en novembre est un nombre relativement faible », a-t-il écrit. « LasPar an, il y avait plus du double de ce nombre d’CVE fixes. Même en remontant à 2018, alors qu’il n’y avait que 691 CVE fixes toute l’année, il y avait plus de CVE fixes en novembre que ce mois-ci.

« Étant donné que décembre est généralement un mois plus lent en termes de correctifs, on peut se demander s’il y a un arriéré de correctifs en attente de déploiement en raison de divers facteurs. Il semble étrange que Microsoft publie moins de correctifs après n’avoir rien vu d’autre que des augmentations dans l’industrie pendant des années.