Vulnérabilités dans plusieurs produits Microsoft

Date de publication :

Microsoft a publié son avis de sécurité mensuel où l’éditeur corrige un grand nombre de vulnérabilités présentant un niveau de risque élevé sur différents logiciels.

Les six premières vulnérabilités impactent le navigateur Chromium sur lequel se base notamment Microsoft Edge et Google Chrome.

CVE-2021-21194 [Score CVSS v3 : 8.8] 
Une vulnérabilité de type use-after-free dans l’option de partage d'écran dans Chromium (base notamment de Microsoft Edge) a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.

CVE-2021-21195 [Score CVSS v3 : 8.8] 
Une vulnérabilité de type ‘use after free’ dans le moteur Javascript V8 au sein de Chromium a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.

CVE-2021-21196 [Score CVSS v3 : 8.8] 
Une vulnérabilité de type débordement de tas dans le module “TabStrip” au sein de Chromium a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.

CVE-2021-21197 [Score CVSS v3 : 8.8] 
Une vulnérabilité de type débordement de tas dans le module “TabStrip” au sein de Chromium a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.

CVE-2021-21198 [Score CVSS v3 : 7.4]
Une vulnérabilité permettant une lecture hors limite dans l’IPC au sein de Chromium a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.

CVE-2021-21199 [Score CVSS v3 : 8.8] 
Une vulnérabilité de type ‘use after free’ a été corrigée dans l’extension “Aura” au sein de Chromium. Son exploitation peut permettre à un attaquant distant et non-authentifié d'exploiter une corruption du tas via une page HTML élaborée.

CVE-2021-26416 [Score CVSS v3 : 7.7]
Une vulnérabilité au sein de Windows Hyper-V a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié de provoquer un déni de service sur le dispositif vulnérable.

CVE-2021-27095, CVE-2021-28315 [Score CVSS v3 : 7.8] 
Une vulnérabilité au sein de Windows Media Video Decoder a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'injecter du code arbitraire au sein d’un fichier média afin qu’il soit exécuté par un utilisateur non averti.

CVE-2021-28324 [Score CVSS v3 : 7.8] 
Une vulnérabilité au niveau de l'implémentation dans le protocole SMB au sein des systèmes Windows a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’exposer des informations potentiellement sensibles.

CVE-2021-28449 [Score CVSS v3 : 7.5] 
Une vulnérabilité au sein de Microsoft Office a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un fichier spécialement conçu afin qu’il soit exécuté par un utilisateur non averti.

CVE-2021-28453 [Score CVSS v3 : 7.8] 
Une vulnérabilité au sein de Microsoft Word a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un fichier spécialement conçu afin qu’il soit exécuté par un utilisateur non averti.

CVE-2021-28451, CVE-2021-28454  [Score CVSS v3 : 7.8] 
Une vulnérabilité au sein de Microsoft Excel a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un fichier spécialement conçu afin qu’il soit exécuté par un utilisateur non averti.

CVE-2021-28460 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Azure Sphere a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’exécuter du code arbitraire non signé au sein d'un dispositif vulnérable.

CVE-2021-28464 [Score CVSS v3 : 7.8] 
Une vulnérabilité au sein des extensions vidéo VP9 a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'injecter du code arbitraire au sein d’un fichier média afin qu’il soit exécuté par un utilisateur non averti.

CVE-2021-28466, CVE-2021-28468 [Score CVSS v3 : 7.8] 
Une vulnérabilité au sein de l’extension “Raw Image” a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'injecter du code arbitraire au sein d’un fichier média afin qu’il soit exécuté par un utilisateur non averti.

CVE-2021-28480 [Score CVSS v3 : 9.8] 
Une vulnérabilité au sein de Microsoft Exchange Server a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'injecter du code arbitraire au sein du dispositif vulnérable.

CVE-2021-28481 [Score CVSS v3 : 9.8] 
Une vulnérabilité au sein de Microsoft Exchange Server a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'injecter du code arbitraire au sein du dispositif vulnérable. 

CVE-2021-28482 [Score CVSS v3 : 8.8] 
Une vulnérabilité au sein de Microsoft Exchange Server a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d'injecter du code arbitraire au sein du dispositif vulnérable. 

CVE-2021-28483 [Score CVSS v3 : 9.0] 
Une vulnérabilité au sein de Microsoft Exchange Server a été corrigée. Son exploitation peut permettre à un attaquant ayant accès au réseau local et non authentifié d'injecter du code arbitraire au sein du dispositif vulnérable.

CVE-2021-28310 [Score CVSS v3 : 7.8]
Une vulnérabilité permettant une élévations de privilèges dans Microsoft Desktop Window Manager a été corrigée. Un attaquant doit d'abord obtenir la possibilité d'exécuter du code à faible privilège sur le système cible afin d'exploiter cette vulnérabilité. La faille spécifique existe dans le pilote win32kfull.sys. Le problème résulte du déréférencement d'un pointeur NULL. Un attaquant local et authentifié peut exploiter cette vulnérabilité pour élever ses privilèges et exécuter du code arbitraire avec les privilèges SYSTEM.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Injection de code arbitraire
  • Exécution de code arbitraire
  • Déni de service
  • Exposition d’informations sensibles

Criticité

  • Scores CVSS v3 : 9.8 max

Existence d’un code d’exploitation

La CVE-2021-28310 est signalée par Microsoft et SecureList comme activement exploitée. Des détails techniques concernant cette faille sont disponibles dans un article SecureList en référence de ce bulletin.

Bien qu’aucun code d’exploitation ne soit encore disponible pour le reste des vulnérabilités présentées ici, Microsoft estime que l’exploitation des failles suivantes est probable.

Ces vulnérabilités sont exploitables à distance (sauf pour la CVE-2021-28483) et ne nécessitent pas d’authentifications préalables (sauf pour la CVE-2021-28482), la recherche de moyen d’exploitation est ainsi effectivement probable.

Au regard des dernières campagnes d’attaques utilisant les vulnérabilités Microsoft Exchange publiées en mars dernier, la cellule ACSS et le CERT Santé recommande fortement de prioriser la mise à jour des dispositifs affectés par ces cinq vulnérabilités.

Un guide Microsoft permettant de s'assurer de l'absence de risque sur les infrastructures Microsoft Exchange est notamment disponible en référence de ce bulletin 

Composants vulnérables

  • SharePoint Server 2019
  • Windows Server version 1909
  • Windows Server 2004
  • Windows Server 2008
  • Windows Server 2008 R2 
  • Windows Server 2012
  • Windows Server 2012 R2 
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server version 20H2
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 version 1607
  • Windows 10 version 1809
  • Windows 10 version 1909
  • Windows 10 version 2004
  • Windows 10 version 20H2
  • Azure DevOps Server 2019 Update 1
  • Azure DevOps Server 2019 Update 1.1
  • Azure DevOps Server 2019.0.1
  • Azure DevOps Server 2020
  • Azure DevOps Server 2020.0.1
  • Azure Sphere
  • Microsoft 365 Apps pour Enterprise pour 64 bits Systems
  • Microsoft 365 Apps pour Enterprise pour systèmes 32 bits
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2016 Cumulative Update 19
  • Microsoft Exchange Server 2016 Cumulative Update 20
  • Microsoft Exchange Server 2019 Cumulative Update 8
  • Microsoft Exchange Server 2019 Cumulative Update 9
  • Microsoft Visual Studio 2015 Update 3
  • Microsoft Visual Studio 2017 version 15.9 (includes 15.0 - 15.8)
  • Microsoft Visual Studio 2019 version 16.4 (includes 16.0 - 16.3)
  • Microsoft Visual Studio 2019 version 16.7 (includes 16.0 – 16.6)
  • Microsoft Visual Studio 2019 version 16.9 (includes 16.0 - 16.8)
  • Raw Image Extension
  • Team Foundation Server 2015 Update 4.2
  • Team Foundation Server 2017 Update 3.1
  • Team Foundation Server 2018 Update 1.2
  • Team Foundation Server 2018 Update 3.2
  • VP9 Video Extensions
  • Visual Studio Code
  • Visual Studio Code - GitHub Pull Requests and Issues Extension
  • Visual Studio Code - Kubernetes Tools
  • Visual Studio Code - Maven pour Java Extension
  • Microsoft Desktop Window Manager
  • Microsoft Edge antérieures à la version 89.0.774.68.

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les logiciels vulnérables conformément aux instructions de Microsoft.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens