Vulnérabilités dans plusieurs produits Microsoft

Date de publication :

CVE-2021-26429 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Azure Sphere. Son exploitation peut permettre à un attaquant local et authentifié d’élever ses privilèges

CVE-2021-26433, CVE-2021-36926, CVE-2021-36932, CVE-2021-36933  [Scores CVSS v3 : 7.5]
Une vulnérabilité au sein du pilote NFS ONCRPC XDR de Windows. Son exploitation peut permettre à un attaquant distant et non authentifié d’accéder à des informations sensibles non spécifiées.

CVE-2021-34478 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Office. Son exploitation peut permettre à un attaquant local et non authentifié de piéger un fichier compatible avec la suite Office. Le code malveillant de ce fichier sera exécuté si un utilisateur légitime ouvre celui-ci.

CVE-2021-36941 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Word. Son exploitation peut permettre à un attaquant local et non authentifié de piéger un fichier compatible avec le logiciel. Le code malveillant de ce fichier sera exécuté si un utilisateur légitime ouvre celui-ci.

CVE-2021-36949 [Score CVSS v3 : 7.1]
Une vulnérabilité au sein de Microsoft Azure Active Directory Connect. Son exploitation peut permettre à un attaquant ayant accès au réseau de l'application et authentifié de contourner l’authentification requise.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Elévation de privilèges
  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire
  • Contournement d’authentification 
  • Violation des politiques de données

Criticité

  • Scores CVSS v3 : 7.8 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • Microsoft Azure Sphere
  • Microsoft 365 Apps pour Enterprise pour 64 bits Systems
  • Microsoft 365 Apps pour Enterprise pour systèmes 32 bits
  • Microsoft Azure Active Directory Connect 1.X.Y.Z
  • Microsoft Azure Active Directory Connect 2.0.X.Y
  • Microsoft Office 2019 pour Mac
  • Microsoft Office 2019 pour éditions 32 bits
  • Microsoft Office 2019 pour éditions 64 bits
  • Remote Desktop client pour Windows Desktop
  • Windows 10 Version 1607 pour systèmes 32 bits
  • Windows 10 Version 1607 pour systèmes x64
  • Windows 10 Version 1809 pour ARM64-based Systems
  • Windows 10 Version 1809 pour systèmes 32 bits
  • Windows 10 Version 1809 pour systèmes x64
  • Windows 10 Version 1909 pour ARM64-based Systems
  • Windows 10 Version 1909 pour systèmes 32 bits
  • Windows 10 Version 1909 pour systèmes x64
  • Windows 10 Version 2004 pour ARM64-based Systems
  • Windows 10 Version 2004 pour systèmes 32 bits
  • Windows 10 Version 2004 pour systèmes x64
  • Windows 10 Version 20H2 pour ARM64-based Systems
  • Windows 10 Version 20H2 pour systèmes 32 bits
  • Windows 10 Version 20H2 pour systèmes x64
  • Windows 10 Version 21H1 pour ARM64-based Systems
  • Windows 10 Version 21H1 pour systèmes 32 bits
  • Windows 10 Version 21H1 pour systèmes x64
  • Windows 10 pour systèmes 32 bits
  • Windows 10 pour systèmes x64
  • Windows 7 pour systèmes 32 bits Service Pack 1
  • Windows 7 pour systèmes x64 Service Pack 1
  • Windows 8.1 pour systèmes 32 bits
  • Windows 8.1 pour systèmes x64
  • Windows RT 8.1
  • Windows Server 2008 R2 pour systèmes x64 Service Pack 1
  • Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (Server Core installation)
  • Windows Server 2008 pour systèmes 32 bits Service Pack 2
  • Windows Server 2008 pour systèmes 32 bits Service Pack 2 (Server Core installation)
  • Windows Server 2008 pour systèmes x64 Service Pack 2
  • Windows Server 2008 pour systèmes x64 Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows Update Assistant

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les dispositifs impactées conformément aux instructions de l’éditeur Microsoft.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens