Vulnérabilités dans Microsoft (Patch Tuesday du 10 Novembre 2021)
Date de publication :
Le mercredi 10 novembre, Microsoft Windows a publié le patch Tuesday. Il s’agit d’une collection de correctifs concernant plus d’une cinquantaine de vulnérabilités. Dans cette collection, 11 vulnérabilités concernent Windows 7, 13 vulnérabilités concernent Windows 8.1 et 22 concernent Windows 10 v1909. Ce bulletin présente uniquement les vulnérabilités les plus importantes, elles sont classées selon les risques respectifs.
CVE-2021-42283[Score CVSS v3.1: 8.8]
Les experts en cyber sécurité de Microsoft ont identifié une vulnérabilité du type « élévation de privilège » dans le système d’exploitation Windows. Plus précisément, il s’agit d’une faille qui se situe au niveau du système de fichier NTFS (New Technology File System). Un attaquant distant et authentifié pourrait exploiter cette vulnérabilité, afin d’élever ses privilèges. Cette vulnérabilité ne semble pas être exploitée pour le moment. Des informations spécifiques qui sont partagé par l'éditeur au sujet de cette vulnérabilité sont disponible ici.
CVE-2021-42321[Score CVSS v3.1: 8.8]
Les experts en cyber sécurité de Microsoft, avec la collaboration de plusieurs chercheurs participant à la compétition Tianfu Cup 2021, ont identifiés une vulnérabilité du type « exécution de code arbitraire » dans le serveur Microsoft Exchange 2016 et 2019. Les détails techniques de l’exploitation ne sont pas publiquement disponibles pour le moment. Un attaquant distant et authentifié pourrait exploiter cette vulnérabilité dans le but d’exécuter du code arbitraire. Un accomplissement de cet exploit permet à l’attaquant de s’octroyer les privilèges d’administration du domaine Active Directory. Attention, cette vulnérabilité est activement exploitée. Elle concerne précisément les serveurs Microsoft Exchange 2019 CU10 et CU11, et Microsoft Exchange 2016 CU21 et CU22. Des informations spécifiques qui sont partagé par l'éditeur au sujet de cette vulnérabilité sont disponible ici.
CVE-2021-42292[Score CVSS v3.1: 7.8]
Des chercheurs ont découvert une vulnérabilité du type « contournement de sécurité » dans l'outil Excel disponible dans les produits Microsoft Office et Microsoft 365. Les chercheur ont constaté qu'une feuille Excel forgée pouvait déclencher un téléchargement d'une autre feuille Excel. Cette seconde feuille est par la suite exécutée avec les privilèges les plus élevés. Un attaquant pourrait exploiter cette vulnérabilité, en utilisant des feuilles Excel malveillantes, pour contourner la sécurité et profiter d'une élévation de privilège. Attention, en ce moment cette vulnérabilité semble être exploitée. Elle concerne précisément les produits Microsoft Office 2013, 2016, 2019 et LTSC 2021, ainsi que Microsoft 365. Des informations spécifiques qui sont partagées par l'éditeur au sujet de cette vulnérabilité sont disponible ici. En plus du Patch Tuesday qui permet de corriger cette vulnérabilité, des informaticiens de la communauté GitHub ont réalisé un dispositif qui permet de détecter l'exécution malveillante, celui-ci est disponible ici.
Les autres vulnérabilités importantes sont les suivantes :
CVE-2021-42283CVE-2021-42285 CVE-2021-41367CVE-2021-42286 CVE-2021- 42287
[Score CVSS v3.1: 8.8 / 8.3 / 8.3 / 8 .3 / 8.8 / 7,5]
Ces vulnérabilités concernent un risque d’élévation de privilèges.
CVE-2021-42321 CVE-2021-42275CVE-2021-38666CVE-2021-42298CVE-2021-41378CVE-2021-40442
[Score CVSS v3.1: 8.8 / 7.7 / 8.8 / 7.8 / 7.8 / 7.8]
Ces vulnérabilités concernent un risque d’exécution de code arbitraire.
CVE-2021-38665
[Score CVSS v3.1: 7.4]
Cette vulnérabilité concerne une divulgation de données sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilège
- Exécution de code arbitraire
- Divulgation de données sensibles
- Contournement de sécurité
- Vol de données sensibles
- Usurpation d’identité
Criticité
- Score CVSS v3.1: 8.8 max
CVE
- CVE-2021-42283
- CVE-2021-42285
- CVE-2021-42275
- CVE-2021-41367
- CVE-2021-42286
- CVE-2021-42321
- CVE-2021-42287
- CVE-2021-42298
- CVE-2021-38666
- CVE-2021-41378
- CVE-2021-40442
- CVE-2021-38665
- CVE-2021-42292
Composants vulnérables.
- La liste complète des composants et versions vulnérables pour chaque CVE est disponible : https://msrc.microsoft.com/update-guide/fr-fr
La liste des produits vulnérables est la suivante :
- Microsoft Office
- Microsoft Edge
- Microsoft Kernel
- Microsoft Exchange
- Azure RTOS
- Azure Sphère
- Microsoft 365 Apps for Enterprise for 32-bit Systems
- Microsoft 365 Apps for Enterprise for 64-bit Systems
- Microsoft Dynamics 365 (on-premises) version 9.0
- Microsoft Dynamics 365 (on-premises) version 9.1
- Microsoft Excel 2013 RT Service Pack 1
- Microsoft Excel 2013 Service Pack 1 (32-bit editions)
- Microsoft Excel 2013 Service Pack 1 (64-bit editions)
- Microsoft Excel 2016 (32-bit edition)
- Microsoft Excel 2016 (64-bit edition)
- Microsoft Exchange Server 2013 Cumulative Update 23
- Microsoft Exchange Server 2016 Cumulative Update 21
- Microsoft Exchange Server 2016 Cumulative Update 22
- Microsoft Exchange Server 2019 Cumulative Update 10
- Microsoft Exchange Server 2019 Cumulative Update 11
- Microsoft Exchange Server 2019 Cumulative Update 11
- Microsoft Malware Protection Engine
- Microsoft Office 2013 RT Service Pack 1
- Microsoft Office 2013 Service Pack 1 (32-bit editions)
- Microsoft Office 2013 Service Pack 1 (64-bit editions)
- Microsoft Office 2016 (32-bit edition)
- Microsoft Office 2016 (64-bit edition)
- Microsoft Office 2016 (64-bit edition)
- Microsoft Office 2019 for 32-bit editions
- Microsoft Office 2019 for 64-bit editions
- Microsoft Office 2019 for Mac
- Microsoft Office LTSC 2021 for 32-bit editions
- Microsoft Office LTSC 2021 for 64-bit editions
- Microsoft Office Online Server
- Microsoft Office Web Apps Server 2013 Service Pack 1
- Microsoft SharePoint Enterprise Server 2013 Service Pack 1
- Microsoft Surface Pro 3
- Microsoft Visual Studio 2015 Update 3
- Microsoft Visual Studio 2017 version 15.9 (includes 15.0 - 15.8)
- Microsoft Visual Studio 2017 version 15.9 (includes 15.0 - 15.8)
- Microsoft Visual Studio 2019 version 16.11 (includes 16.0 - 16.10)
- Microsoft Visual Studio 2019 version 16.7 (includes 16.0 – 16.6)
- Microsoft Visual Studio 2019 version 16.9 (includes 16.0 - 16.8)
- Power BI Report Server
- Remote Desktop client for Windows Desktop
- Visual Studio Code
- Windows 10 for 32-bit Systems
- Windows 10 for 32-bit Systems
- Windows 10 for x64-based Systems
- Windows 10 Version 1607 for 32-bit Systems
- Windows 10 Version 1607 for 64-bit Systems
- Windows 10 Version 1607 for x64-based Systems
- Windows 10 Version 1809 for 32-bit Systems
- Windows 10 Version 1809 for ARM64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 2004 for 32-bit Systems
- Windows 10 Version 2004 for ARM64-based Systems
- Windows 10 Version 2004 for x64-based Systems
- Windows 10 Version 20H2 for 32-bit Systems
- Windows 10 Version 20H2 for ARM64-based Systems
- Windows 10 Version 20H2 for x64-based Systems
- Windows 10 Version 21H1 for 32-bit Systems
- Windows 10 Version 21H1 for ARM64-based Systems
- Windows 10 Version 21H1 for x64-based Systems
- Windows 11 for ARM64-based Systems
- Windows 11 for x64-based Systems
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems Service Pack 1
- Windows 8.1 for 32-bit systems
- Windows 8.1 for x64-based systems
- Windows RT 8.1
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server 2022
- Windows Server 2022 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
- Windows Server, version 20H2 (Server Core Installation)
Solutions ou recommandations
- Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois de novembre 2021
Liens
- NVD CVE-2021-42283
- NVD CVE-2021-42285
- NVD CVE-2021-42275
- NVD CVE-2021-41367
- NVD CVE-2021-42286
- NVD CVE-2021-42321
- NVD CVE-2021-42287
- NVD CVE-2021-36366
- NVD CVE-2021-42298
- NVD CVE-2021-41378
- NVD CVE-2021-40442
- NVD CVE-2021-42292
- NVD CVE-2021-38665
- Microsoft Patch Tuesday
- Microsoft guide pour CVE-2021-42321
- Mitre CVE-2021-42321
- GITHUB dispositif de détection contre le problème de la vulnérabilité CVE-2021-…