Vulnérabilités dans plusieurs produits Microsoft

Date de publication :

Microsoft a publié son avis de sécurité mensuel. L’éditeur a corrigé un grand nombre de vulnérabilités sur ses systèmes d’exploitation et logiciels. Seules les vulnérabilités présentant un niveau de risque élevé ou critique ont été sélectionnées dans ce bulletin.

CVE-2021-31939 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Excel a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un document lisible par le logiciel. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
 

CVE-2021-31940, CVE-2021-31941 [Score CVSS v3 : 7.8]
Plusieurs vulnérabilités au sein de Microsoft Office Graphics ont été corrigées. Leur exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un document lisible par le logiciel. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
 

CVE-2021-31942, CVE-2021-31943 [Score CVSS v3 : 7.8]
Plusieurs vulnérabilités au sein de 3D Viewer ont été corrigées. Leur exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un document lisible par le logiciel. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
 

CVE-2021-31945, CVE-2021-31946, CVE-2021-31983 [Score CVSS v3 : 6.6]
Plusieurs vulnérabilités au sein de Paint 3D ont été corrigées. Leur exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un document lisible par le logiciel. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
 

CVE-2021-31956 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Windows NTFS a été corrigée. Son exploitation peut permettre à un attaquant local et authentifié d’élever ses privilèges sur le dispositif vulnérable.
 

CVE-2021-31958 [Score CVSS v3 : 8.8]
Une vulnérabilité au sein de Windows NTLM a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’élever ses privilèges sur le dispositif vulnérable. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
 

CVE-2021-31962 [Score CVSS v3 : 9.8]
Une vulnérabilité au sein de Microsoft Kerberos AppContainer a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié de contourner les mesures de sécurité de l’utilitaire de manière non spécifiée.
 

CVE-2021-31967 [Score CVSS v3 : 8.8]
Une vulnérabilité au sein des extensions de VP9 Video a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un document lisible par le logiciel. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
 

CVE-2021-31975, CVE-2021-31976 [Score CVSS v3 : 7.5]
Plusieurs vulnérabilités au sein de Microsoft Network File System (NFS) ont été corrigées. Leur exploitation peut permettre à un attaquant distant et non authentifié d’exposer des informations sensibles.
 

CVE-2021-31977 [Score CVSS v3 : 8.6]
Une vulnérabilité au sein de Windows Hyper-V a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service sur les dispositifs vulnérables.
 

CVE-2021-31980 [Score CVSS v3 : 9.8]
Une vulnérabilité au sein de l’extension de gestion de Microsoft Intune a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire sur les dispositifs vulnérables.
 

CVE-2021-31985 [Score CVSS v3 : 8.8]
Une vulnérabilité au sein de Microsoft Defender a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’exécuter du code arbitraire sur les dispositifs vulnérables.
 

CVE-2021-33739 [Score CVSS v3 : 7.8] : Une vulnérabilité au sein de la librairie Microsoft DWM Core a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’élever ses privilèges sur les dispositifs vulnérables.
 

CVE-2021-33741 [Score CVSS v3 : 7.5] : Une vulnérabilité au sein de Microsoft Edge a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’élever ses privilèges sur les dispositifs vulnérables.
 

CVE-2021-33742 [Score CVSS v3 : 8.8] : Une vulnérabilité au sein de la plateforme Microsoft MSHTML a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire sur un appareil vulnérable. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Déni de service
  • Elévation de privilèges
  • Exposition d’informations sensibles
  • Violation des politiques de sécurité

Criticité

  • Scores CVSS v3 : 9.8 max

Existence d’un code d’exploitation

  • Pour la CVE-2021-33742, un exploit (POC) existe.
  • Pour la CVE-2021-33739, un exploit (POC) existe.
  • Pour la CVE-2021-31985, un exploit (POC) existe. 
  • Pour la CVE-2021-31962, un exploit (POC) existe. 
  • Pour la CVE-2021-31956, un exploit (POC) existe. 

Composants vulnérables

  • Microsoft Edge (Chromium-based)
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows RT 8.1
  • Windows 8.1 for x64-based systems
  • Windows 8.1 for 32-bit systems 
  • Windows 7 for x64-based Systems Service Pack 1 
  • Windows 7 for 32-bit Systems Service Pack 1 
  • Windows Server 2016 (Server Core installation) 
  • Windows Server 2016 
  • Windows 10 Version 1607 for x64-based Systems 
  • Windows 10 Version 1607 for 32-bit Systems 
  • Windows 10 for x64-based Systems 
  • Windows 10 for 32-bit Systems
  • Windows Server, version 20H2 (Server Core Installation) 
  • Windows 10 Version 20H2 for ARM64-based Systems 
  • Windows 10 Version 20H2 for 32-bit Systems 
  • Windows 10 Version 20H2 for 32-bit Systems 
  • Windows Server, version 2004 (Server Core installation) 
  • Windows 10 Version 2004 for x64-based Systems
  • Windows 10 Version 2004 for ARM64-based Systems 
  • Windows 10 Version 2004 for 32-bit Systems 
  • Windows Server, version 1909 (Server Core installation) 
  • Windows 10 Version 1909 for ARM64-based Systems 
  • Windows 10 Version 1909 for x64-based Systems 
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows Server 2019 (Server Core installation) 
  • Windows Server 2019
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1803 for x64-based Systems 
  • Windows 10 Version 1803 for 32-bit Systems 
  • Microsoft Office 2013 Service Pack 1 (64-bit editions) 
  • Microsoft Office 2013 Service Pack 1 (32-bit editions) 
  • Microsoft Office 2013 RT Service Pack 1 
  • Microsoft Office 2016 (64-bit edition) 
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2019 for 64-bit editions 
  • Microsoft Office 2019 for 32-bit editions  
  • Microsoft 365 Apps for Enterprise for 64-bit Systems 
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft Web Media Extensions
  • Microsoft SharePoint Foundation 2013 Service Pack 1
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft Excel 2013 Service Pack 1 (64-bit editions)
  • Microsoft Excel 2013 Service Pack 1 (32-bit editions)
  • Microsoft Excel 2013 RT Service Pack 1
  • Microsoft Excel 2016 (64-bit edition) 
  • Microsoft Excel 2016 (32-bit edition) 
  • Microsoft Office Online Server 
  • 3D Viewer
  • Paint 3D
  • VP9 Video Extensions
  • Intune management extension
  • Microsoft Defender (Microsoft Malware Protection Engine)

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les dispositifs vulnérables conformément aux instructions de l’éditeur Microsoft.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens