Vulnérabilités dans plusieurs produits Microsoft
Date de publication :
CVE-2021-26429 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Azure Sphere. Son exploitation peut permettre à un attaquant local et authentifié d’élever ses privilèges
CVE-2021-26433, CVE-2021-36926, CVE-2021-36932, CVE-2021-36933 [Scores CVSS v3 : 7.5]
Une vulnérabilité au sein du pilote NFS ONCRPC XDR de Windows. Son exploitation peut permettre à un attaquant distant et non authentifié d’accéder à des informations sensibles non spécifiées.
CVE-2021-34478 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Office. Son exploitation peut permettre à un attaquant local et non authentifié de piéger un fichier compatible avec la suite Office. Le code malveillant de ce fichier sera exécuté si un utilisateur légitime ouvre celui-ci.
CVE-2021-36941 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Word. Son exploitation peut permettre à un attaquant local et non authentifié de piéger un fichier compatible avec le logiciel. Le code malveillant de ce fichier sera exécuté si un utilisateur légitime ouvre celui-ci.
CVE-2021-36949 [Score CVSS v3 : 7.1]
Une vulnérabilité au sein de Microsoft Azure Active Directory Connect. Son exploitation peut permettre à un attaquant ayant accès au réseau de l'application et authentifié de contourner l’authentification requise.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Atteinte à la confidentialité des données
- Exécution de code arbitraire
- Contournement d’authentification
- Violation des politiques de données
Criticité
- Scores CVSS v3 : 7.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Microsoft Azure Sphere
- Microsoft 365 Apps pour Enterprise pour 64 bits Systems
- Microsoft 365 Apps pour Enterprise pour systèmes 32 bits
- Microsoft Azure Active Directory Connect 1.X.Y.Z
- Microsoft Azure Active Directory Connect 2.0.X.Y
- Microsoft Office 2019 pour Mac
- Microsoft Office 2019 pour éditions 32 bits
- Microsoft Office 2019 pour éditions 64 bits
- Remote Desktop client pour Windows Desktop
- Windows 10 Version 1607 pour systèmes 32 bits
- Windows 10 Version 1607 pour systèmes x64
- Windows 10 Version 1809 pour ARM64-based Systems
- Windows 10 Version 1809 pour systèmes 32 bits
- Windows 10 Version 1809 pour systèmes x64
- Windows 10 Version 1909 pour ARM64-based Systems
- Windows 10 Version 1909 pour systèmes 32 bits
- Windows 10 Version 1909 pour systèmes x64
- Windows 10 Version 2004 pour ARM64-based Systems
- Windows 10 Version 2004 pour systèmes 32 bits
- Windows 10 Version 2004 pour systèmes x64
- Windows 10 Version 20H2 pour ARM64-based Systems
- Windows 10 Version 20H2 pour systèmes 32 bits
- Windows 10 Version 20H2 pour systèmes x64
- Windows 10 Version 21H1 pour ARM64-based Systems
- Windows 10 Version 21H1 pour systèmes 32 bits
- Windows 10 Version 21H1 pour systèmes x64
- Windows 10 pour systèmes 32 bits
- Windows 10 pour systèmes x64
- Windows 7 pour systèmes 32 bits Service Pack 1
- Windows 7 pour systèmes x64 Service Pack 1
- Windows 8.1 pour systèmes 32 bits
- Windows 8.1 pour systèmes x64
- Windows RT 8.1
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (Server Core installation)
- Windows Server 2008 pour systèmes 32 bits Service Pack 2
- Windows Server 2008 pour systèmes 32 bits Service Pack 2 (Server Core installation)
- Windows Server 2008 pour systèmes x64 Service Pack 2
- Windows Server 2008 pour systèmes x64 Service Pack 2 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
- Windows Server, version 20H2 (Server Core Installation)
- Windows Update Assistant
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les dispositifs impactées conformément aux instructions de l’éditeur Microsoft.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.