Le Patch Tuesday de novembre 2021 est disponible ! Ce mois-ci, Microsoft a corrigé 55 vulnérabilités, dont 6 considérées comme critiques et 6 failles zero-day.

Si l'on tri les 55 failles de sécurité de ce mois-ci par type, on se rend compte qu'il y en a 20 qui correspondent à des failles de type "élévation de privilèges". À titre de comparaison, le mois dernier il y avait 21 failles de type élévation de privilèges, mais il y avait plus de 80 vulnérabilités corrigées. Par ailleurs, il y a 15 failles de type "exécution de code à distance" et 10 qui permettent la divulgation d'informations.

Parmi les produits Microsoft concernés par ce Patch Tuesday, nous avons : Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge, Exchange Server par trois fois, la suite Office (Excel, Word, Access), Hyper-V, l'Active Directory par 4 fois, Windows Hello, le NTFS, et le noyau Windows.

Six failles zero-day : Excel et Exchange dans le viseur

Ce mois-ci, il faut porter son attention sur les 6 failles zero-day et plus particulièrement deux d'entre-elles qui sont activement exploitées par les pirates. Il y a une faille qui touche Excel et la seconde Exchange, une fois de plus.

• CVE-2021-42292 - Microsoft Excel : bypass d'une fonctionnalité de sécurité
• CVE-2021-42321 - Microsoft Exchange : exécution de code à distance

La faille CVE-2021-42321 qui touche les serveurs de messagerie Microsoft Exchange est particulièrement inquiétante, car elle permet une exécution de code à distance post-authentification. Elle a été découverte lors de la compétition de hacking Tianfu Cup qui s'est déroulée le mois dernier. Pour en savoir plus sur cette faille, lisez cet article.

Quant à la faille dans Excel, c'est l'équipe de Microsoft Threat Intelligence Center qui en a fait la découverte et il s'avère qu'elle est déjà utilisée dans le cadre d'attaque. Dès à présent, Microsoft Office bénéficie d'un correctif pour vous protéger contre cette faille de sécurité, mais ce correctif n'est pas encore disponible pour Office sur macOS.

Concernant les autres failles zero-day qui ne sont pas encore utilisées dans le cadre d'attaques, voici la liste ci-dessous :

• CVE-2021-38631 - Protocole RDP : divulgation d'informations
• CVE-2021-41371 - Protocole RDP : divulgation d'informations
• CVE-2021-43208 : Visionneuse 3D : exécution de code à distance
• CVE-2021-43209 - Visionneuse 3D : exécution de code à distance

Il est à noter que les failles au sein du protocole RDP touchent toutes les versions de Windows, y compris les plus récentes : Windows 10, Windows 11, Windows Server 2022, etc... Y compris les installations en mode "Core".

Source

The post Patch Tuesday – Novembre 2021 : 55 vulnérabilités corrigées et 6 zero-day first appeared on IT-Connect.