Patch Tuesday – Avril 2021 : la NSA découvre 4 nouvelles failles dans Exchange

Ce Patch Tuesday d'Avril 2021 est encore riche en correctifs ! Au total, Microsoft a corrigé 108 vulnérabilités, dont 5 failles Zero-Day. La NSA de son côté a dévoilé quatre failles au sujet de Microsoft Exchange.

Parmi ces 108 failles de sécurité, il y en a 89 qui sont classées comme étant importantes et 19 considérées comme critiques. Ce qui est plus gênant, ce sont les 5 vulnérabilités zero-day corrigées par ce correctif mensuel. Les produits touchés sont divers et variés comme chaque mois, en voici quelques-uns : Hyper-V, Visual Studio Code, Windows Installer, le noyau Windows, le pilote TCP/IP de Windows, Windows Media Player, etc... mais aussi de nombreuses failles dans Windows RPC Runtime.

Pour Windows 10, voici les mises à jour cumulatives d'Avril 2021 :

- KB5001340 pour Windows 10 version 1507
- KB5001347 pour Windows 10 version 1607
- KB5001339 pour Windows 10 version 1803
- KB5001342 pour Windows 10 version 1809
- KB5001337 pour Windows 10 version 1909
- KB5001330 pour Windows 10 v2004 (20H1) et 20H2

Cinq failles Zero-Day

Parlons de ces failles Zero-Day... La bonne nouvelle, c'est qu'il n'y en a 4 parmi les 5 qui n'ont pas été exploitées par les hackers pour le moment. Il y a notamment une faille qui touche le système de fichiers NTFS et qui permet une attaque par déni de service. Voici le nom des vulnérabilités en question :

- CVE-2021-27091
- CVE-2021-28312
- CVE-2021-28437
- CVE-2021-28458

La mauvaise nouvelle, vous l'aurez compris, c'est qu'il y en a une qui est déjà exploitée. En l'occurrence, la faille référencée sous le nom CVE-2021-28310 serait exploitée par le groupe BITTER APT, mais aussi d'autres groupes, d'après l'éditeur Kaspersky. D'ailleurs, c'est le chercheur en sécurité de chez Kaspersky, Boris Larin, qui a fait cette découverte. Cette vulnérabilité permet une élévation de privilèges au sein de Windows à partir d'une attaque locale. Windows 10 est concerné par cette vulnérabilité, mais également Windows Server.

La NSA découvre quatre nouvelles failles dans Exchange

La solution de messagerie Microsoft Exchange continue sur sa lancée du mois dernier, même si l'on s'en serait bien passé. Dans la continuité des failles critiques déjà corrigées le mois dernier par Microsoft, cette fois-ci c'est la NSA, l'Agence de Sécurité Américaine, qui dévoile 4 failles critiques situées dans Exchange. Il s'agit de quatre vulnérabilités qui permettent une exécution de code à distance, voici leur petit nom :

- CVE-2021-28480
- CVE-2021-28481
- CVE-2021-28482
- CVE-2021-28483

Plusieurs versions d'Exchange sont touchées : Exchange 2013, Exchange 2016 et Exchange 2019. Plus précisément, des mises à jour sont disponibles pour les versions suivantes : Exchange Server 2013 CU23, Exchange Server 2016 CU19 et CU20, et Exchange Server 2019 CU8 et CU9. Il est à noter qu'il faut installer la bonne CU avant de pouvoir installer le correctif, comme l'explique Microsoft :

Failles NSA Exchange

Microsoft en profite pour préciser que les utilisateurs d'Exchange Online ne sont pas concernés par cette vulnérabilité. Plus d'informations sont disponibles sur une page dédiée pour ces nouvelles vulnérabilités qui touchent Exchange : CVE Exchange - Avril 2021

J'en profite également pour vous informer que Google a publié une mise à jour pour Chrome dans le but de corriger la faille de sécurité zero-day diffusée sur Twitter par Rajvardhan Agarwal, un chercheur en sécurité. Edge bénéficie lui aussi d'une mise à jour pour corriger plusieurs failles de sécurité.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3130 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.