Vulnérabilités dans plusieurs produits Microsoft

Date de publication :

Comme chaque mois, l’éditeur Microsoft a publié les mises à jour de sécurité concernant ses outils. Plusieurs vulnérabilités critiques ont ainsi été corrigées :

Microsoft Excel

CVE-2020-17122, CVE-2020-17123, CVE-2020-17125, CVE-2020-17127, CVE-2020-17128, CVE-2020-17129  [Score CVSS : 7.8] : Une vulnérabilité a été corrigée dans Microsoft Excel. Son exploitation peut potentiellement permettre à un attaquant distant et non-authentifié d’injecter du code arbitraire. 

Hyper-V

CVE-2020-17095[Score CVSS : 9.9] : Une vulnérabilité a été corrigée dans Hyper-V. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié d’injecter du code arbitraire. 

Microsoft SharePoint

CVE-2020-17115 [Score CVSS : 8.0] : Une vulnérabilité a été corrigée dans Microsoft Sharepoint. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié de perpétrer une attaque de type spoofing afin d’obtenir/élever ses privilèges ainsi que d’avoir accès à des informations sensibles au sein des dispositifs vulnérables.

CVE-2020-17121 [Score CVSS : 8.8] : Une vulnérabilité a été corrigée dans Microsoft Sharepoint. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié d’injecter du code arbitraire. 

Microsoft Exchange

CVE-2020-17132  [Score CVSS : 9.1] : Une vulnérabilité a été corrigée dans Microsoft Exchange. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié d’injecter du code arbitraire. 

CVE-2020-17141  [Score CVSS : 8.4] : Une vulnérabilité a été corrigée dans Microsoft Exchange. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié d’injecter du code arbitraire. 

CVE-2020-17142[Score CVSS : 9.1] : Une vulnérabilité a été corrigée dans Microsoft Exchange. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié d’injecter du code arbitraire. 

CVE-2020-17144[Score CVSS : 8.8] : Une vulnérabilité a été corrigée dans Microsoft Exchange. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié d’injecter du code arbitraire. 

CVE-2020-17143[Score CVSS : 8.4] : Une vulnérabilité a été corrigée dans Microsoft Exchange. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié d’avoir accès à des informations sensibles sur les dispositifs vulnérables.

Windows SMB

CVE-2020-17140[Score CVSS : 6.5] : Une vulnérabilité a été corrigée dans le protocole Windows SMB. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié d’avoir accès à des informations sensibles sur les dispositifs vulnérables.

Microsoft PowerPoint

CVE-2020-17124[Score CVSS : 7.8] : Une vulnérabilité a été corrigée dans Microsoft PowerPoint. Son exploitation peut potentiellement permettre à un attaquant distant et non-authentifié d’injecter du code arbitraire.

Dynamics CRM Webclient

CVE-2020-17147[Score CVSS : 5.4] : Une vulnérabilité a été corrigée dans le client web Dynamics CRM. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié de perpétrer une attaque de type cross-site Scripting

Visual Studio Code

CVE-2020-17148[Score CVSS : 7.8] :  Une vulnérabilité a été corrigée dans l’extension de développement à distance de Visual Studio Code. Son exploitation peut potentiellement permettre à un attaquant distant et non-authentifié d’injecter du code arbitraire.
CVE-2020-17156[Score CVSS : 7.8] : Une vulnérabilité a été corrigée dans Visual Studio Code. Son exploitation peut potentiellement permettre à un attaquant distant et non-authentifié d’injecter du code arbitraire.

Microsoft Dynamics 365 for Finance and Operations (on-premises)

CVE-2020-17152, CVE-2020-17158[Score CVSS : 8.8] : Une vulnérabilité a été corrigée dans Microsoft Dynamics 365 for Finance and Operations. Son exploitation peut potentiellement permettre à un attaquant distant et authentifié d’injecter du code arbitraire.

 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Injection de code arbitraire
  • Exposition de données sensibles
  • Violation des politiques de sécurité

Criticité

  • Score CVSS v3 : 5.4 ; 6.5 ; 7.8 ; 8.0 ; 8.4 ; 8.8 ; 9.1

Existence d’un code d’exploitation

  • Il n’existe pas de code d'exploitation connu publiquement à l’heure actuelle.

Composants vulnérables

  • Microsoft Excel
  • Hyper-V
  • Microsoft SharePoint
  • Microsoft PowerPoint
  • Visuel Code Studio 
  • Microsoft Dynamics 365 for Finance and Operations
  • Dynamics CRM (CLient web)
  • Windows SMB

CVE

  • CVE-2020-17095
  • CVE-2020-17122
  • CVE-2020-17123 
  • CVE-2020-17125 
  • CVE-2020-17127
  • CVE-2020-17128
  • CVE-2020-17129
  • CVE-2020-17095
  • CVE-2020-17115
  • CVE-2020-17121
  • CVE-2020-17132
  • CVE-2020-17141
  • CVE-2020-17142
  • CVE-2020-17144
  • CVE-2020-17143
  • CVE-2020-17140
  • CVE-2020-17124
  • CVE-2020-17147
  • CVE-2020-17148
  • CVE-2020-17156
  • CVE-2020-17152
  • CVE-2020-17158

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Les différents correctifs de sécurité à appliquer sont disponibles dans le lien en référence au sein de la section “Security Update” propre à chaque page décrivant une vulnérabilité.

Solution de contournement

  • Il n’existe pas de solutions de contournement proposées publiquement à l’heure actuelle.

 

Liens