Lors du premier Patchday de l’année, Microsoft a mis à jour, entre autres, neuf logiciels appelés « critique« ont été corrigées. Elles concernent entre autres Active Directory, Exchange et Windows. Actuellement, Microsoft n’indique pas que des pirates exploitent des failles. Six vulnérabilités sont toutefois connues publiquement et des attaques pourraient être imminentes.
Sommaire
Attention aux attaques de vers
Une faille (CVE-2021-21907 « critique ») dans Windows 10, 11 et Windows Server 2019, 2022 est considérée comme particulièrement dangereuse. Selon un message d’avertissement de Microsoft, le défaut se trouve dans la pile de protocole HTTP (http.sys). Pour lancer une attaque, il suffirait aux pirates d’envoyer des paquets préparés aux systèmes vulnérables sans authentification.
Si cela réussit, un code malveillant pourrait être introduit dans les systèmes. Microsoft met en garde contre le fait qu’un cheval de Troie peut se propager à d’autres PC à partir de cette position. Dans Windows 10 1809 et Windows Server 2019, le composant vulnérable ne doit pas être actif par défaut. Les administrateurs devraient toutefois installer rapidement les mises à jour de sécurité sur tous les systèmes.
Des failles dangereuses
Une autre faille de sécurité critique (CVE-2021-21846) concerne Microsoft Exchange. Elle permettrait à un attaquant de prendre le contrôle d’Exchange Server grâce à un accès réseau. Cette vulnérabilité a été signalée par la National Security Agency (NSA).
Une autre faille de code malveillant (CVE-2021-21840 « élevé« ) concerne Office. Pour qu’une attaque réussisse, un attaquant doit inciter une victime à ouvrir un document manipulé avec un code malveillant. Les mises à jour de sécurité d’Office pour macOS devraient suivre, selon une déclaration de Microsoft.
Il existe également des correctifs de sécurité pour .NET Framework, DirectX et Edge par exemple. Les utilisateurs de Windows doivent s’assurer que Windows Update est en cours d’exécution et que le système est à jour. Vous trouverez plus d’informations sur le Patchday dans le Security Update Guide de Microsoft.
[UPDATE 12.01.2022 10:10 Uhr]
Ajout d’une référence aux mises à jour macOS pour Office dans le corps du texte.