Patch Tuesday – Février 2021 : 56 failles corrigées dont une Zero-Day
Le second Patch Tuesday de 2021 est là puisque Microsoft a publié ce mardi les mises à jour de février 2021. Au programme, 56 vulnérabilités sont corrigées, dont 11 critiques parmi lesquelles une faille Zero Day déjà exploitée.
Plusieurs produits de chez Microsoft sont concernés par ces mises à jour, en voici quelques uns : Microsoft Office, Edge sur Android, .NET Framework, Windows Codecs Library, Skype for Business, Visual Studio, Microsoft Defender, DNS, Azure IoT ainsi que des composants comme la pile TCP/IP, le RPC, Win32k, et le spooleur d'impression.
? Serveur DNS
Commençons par le serveur DNS de Windows qui est touché par une vulnérabilité critique ayant un score de gravité de 9,8 sur 10. Associée au nom CVE-2021-24078, elle touche toutes les versions de Windows Server y compris les plus récentes, et qui permet une exécution de code à distance au sein du serveur DNS. L'exploiter pourrait permettre d'empoisonner votre DNS pour rediriger le trafic vers des serveurs malveillants. La bonne nouvelle malgré tout, c'est qu'il ne s'agit pas d'une faille révélée publiquement avant la sortie de ce correctif.
? Zero-Day dans Win32k
Avant de passer à la suite, j'attire votre attention sur la faille nommée CVE-2021-1732 et qui touche un composant intégré à Windows : Win32k. Il s'agit d'une faille Zero-Day qui permet à l'attaquant d'élever ses privilèges et d'avoir le niveau de droit maximal sur la machine ciblée.
D'après la société chinoise DBAPPSecurity, cette faille Zero-Day est déjà exploitée et un exploit existe pour cibler Windows 10 v1909. Aujourd'hui, dans la version la plus récente de Windows 10, à savoir la version 20H2, ce bug est toujours présent. Toujours d'après cette société, un hacker nommé Bitter aurait tiré profit de cette vulnérabilité pendant plusieurs mois, en tout discrétion. Désormais, un correctif est intégré à ce patch mensuel.
D'après les informations fournies sur le site de Microsoft, le correctif de la faille CVE-2021-1732 s'applique aussi bien à Windows 10 que Windows Server. Enfin, mettons à l'honneur JinQuan, MaDongZe, TuXiaoYi, et LiHao qui ont permis à Microsoft de découvrir et corriger cette vulnérabilité.
? La pile TCP/IP
La pile TCP/IP de Windows est touchée par trois vulnérabilités, dont deux pour de l'exécution de code à distance et une troisième qui permettrait de faire planter une machine Windows. Les noms associés à ces vulnérabilités sont : CVE-2021-24074, CVE-2021-24094 et CVE-2021-24086. D'après Microsoft, les deux vulnérabilités d'exécution de code à distance sont complexes et difficiles à exploiter. Néanmoins, il est probable que par la suite des exploits soient disponibles pour combiner l'exploitation de ces trois failles et créer des attaques de type déni de service.
? Six failles rendues publiques
Ce qui est gênant avec ce Patch Tuesday, au-delà du fait qu'une faille Zero Day est présente, c'est qu'il y a eu des détails précis rendus publics au sujet de six vulnérabilités. Ces détails ont été rendus publics avant la sortie de ce correctif mensuel, mais d'après Microsoft elles ne sont pas exploitées par les attaquants.
Voici la liste des CVE concernées et qui touchent différents produits Microsoft comme .NET Framework, PsExec, ou encore DirectX : CVE-2021-1721, CVE-2021-1727, CVE-2021-1733, CVE-2021-24098, CVE-2021-24106 et CVE-2021-26701.
? Zerologon
Ce Patch Tuesday est également l'occasion choisie par Microsoft pour corriger définitivement la faille critique Zerologon qui touche les contrôleurs de domaine. Pour rappel, voici mon article à ce sujet : ⭐ Zerologon
Merci pour ces résumés mensuels.
Ca m’évite d’aller chercher par moi même les bons liens 😉