Lors du Patchday d’octobre, Microsoft a fourni des mises à jour de sécurité pour .NET Core, Dynamics, Edge, Exchange Server, Office, SharePoint, System Center Operations Manager, Visual Studio et diverses versions de Windows via la fonction Windows Update. Trois vulnérabilités sont déjà connues publiquement. Une vulnérabilité est actuellement exploitée activement par des attaquants.
Sommaire
Patch maintenant
La vulnérabilité exploitée est une vulnérabilité (CVE-2021-40449 « haut« ) dans le module du noyau Win32k. Windows 7, 8.1, 10 et certaines versions de serveurs Windows sont concernés. Selon les découvreurs de la vulnérabilité de Kaspersky, les attaques touchent principalement les diplomates, les entreprises informatiques et les institutions militaires.
On ne sait pas encore comment les attaques sont menées en détail. Si les attaques sont réussies, les attaquants devraient pouvoir acquérir des droits d’utilisateur plus élevés et installer le cheval de Troie MysterySnail sur les systèmes. Ils devraient alors avoir un accès à distance aux ordinateurs.
Les trois vulnérabilités connues publiquement affectent le noyau Windows (CVE-2021-41335 « haut« ) Windows DNS Server (CVE-2021-40469 « haut« ) et le pare-feu Windows AppContainer (CVE-2021-41338 « Moyen« ). Si les attaquants réussissent à exploiter ces vulnérabilités, ils peuvent contourner les mécanismes de sécurité, obtenir des droits d’utilisateur accrus ou même exécuter du code malveillant à distance. Étant donné que le public est conscient de ces lacunes, les attaques pourraient être imminentes.
La NSA aide Microsoft
Comme « critiqueMicrosoft classe deux vulnérabilités dans Hyper-V et une dans Word comme « critiques ». Dans tous les cas, un code malveillant pourrait atterrir sur les ordinateurs après des attaques réussies. Dans le cas de Word, un attaquant doit amener une victime à ouvrir un document Word préparé. La fonction de prévisualisation est censée être suffisante pour cela.
Un autre connu sous le nom de critique La vulnérabilité (CVE-2021-26427) affecte Exchange Server et pourrait conduire à l’exécution de code à distance. Toutefois, les attaques ne doivent pas être possibles via l’internet, souligne Microsoft. Les lacunes de ce type ont généralement des conséquences graves, comme le montrent les gros titres des derniers mois sur les attaques contre Exchange Server.
La brèche a été signalée à Microsoft par la NSA. Il s’agit en fait exactement du type de bogue que la NSA exploiterait normalement pour s’introduire elle-même dans les serveurs d’autres personnes. La raison pour laquelle elle a préféré signaler l’écart à Microsoft cette fois-ci laisse place à la spéculation.
Entre autres choses, une vulnérabilité (CVE-2021-40454 « Moyen« ) dans Rich Text Edit compromet Windows 11. On ne sait pas encore très bien à quoi pourrait ressembler une attaque. Par conséquent, les attaquants pouvaient accéder aux mots de passe en texte clair dans la mémoire.
Les chercheurs en sécurité de Trend Micro donnent plus d’informations sur les failles de sécurité comblées dans un billet de blog.