Microsoft : publication du Patch Tuesday du mois de Mars
Suite à la publication des correctifs d’urgence de Microsoft, la société a publié le Patch Tuesday du mois de Mars, corrigeant ainsi 14 failles critiques. Microsoft a donc publié 89 correctifs de sécurité, qui concernent le navigateur Edge et Internet Explorer, ainsi que les logiciels d’Office et Azure. Ces patchs permettent de corriger des problèmes critiques, comme par exemple les vecteurs pour l’exécution à distance de code arbitraire.
Les produits Office concernés par ce correctif sont : PowerPoint, Excel, SharePoint et Visio. Le patch inclut aussi sept (07) correctifs hors bande dédiés au serveur Microsoft Exchange, dont quatre concernent des zero-day. D’autres mises à jour de sécurité ont également été publiées par Microsoft pour des fonctionnalités et des services tels que la bibliothèque de codes Microsoft Windows, le centre d’administration Windows, DirectX, la recherche d’événements, le registre, Win32K et l’API d’accès à distance Windows.
En tout, 14 failles ont été jugées critiques, et la plupart risquent de conduire à une exécution de code arbitraire. Les autres sont également jugées importantes.
Parmi les patchs, on trouve ceux qui concernent la faille CVE-2021-26411, une vulnérabilité de corruption de la mémoire dans Internet Explorer activement exploitée. « Avec ce type d'exploit, l'attaquant dispose des mêmes autorisations sur le système d'exploitation que l'utilisateur qui visite le site web », explique Kevin Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs. « Ainsi, si vous naviguez sur internet en tant qu'utilisateur standard, l'attaquant obtiendra un accès basique à vos fichiers et un accès limité au système d'exploitation. Mais si vous surfez en tant qu'administrateur, il aura un accès complet et illimité à vos fichiers et à votre système d'exploitation. »
Parmi les autres problèmes critiques, on trouve les failles CVE-2021-27074 et CVE-2021-27080, qui sont des vulnérabilités d’exécution de code non signé dans Azure Sphere, et CVE-2021-26897, une faille RCE critique dans le serveur DNS de Windows. En tout, la résolution de 15 CVE a été signalée dans le cadre de l’initiative Trend Micro Zero Day. Un groupe distinct de correctifs a été publié spécialement pour la version Chromium du navigateur Edge. Cette dernière série de correctifs vient après les premiers correctifs urgents publiés par Microsoft permettant de résoudre quatre failles « zero-day » dans Exchange Server, en plus de trois autres bugs de sécurité. Le groupe Hafnium est le groupe responsable de l’exploitation des failles de sécurité critiques utilisées dans le vol des données des courriels dans les boites de réception, et qui risqueraient de permettre le détournement du serveur. Sauf que ce souci s’est répandu à l’échelle mondiale et aurait affecté plusieurs milliers d’entreprises dans les quatre coins du monde.
La fin de la prise en charge des applications de bureau Microsoft Edge Legacy a aussi été annoncée par Microsoft. De ce fait, Microsoft supprimera et remplacera l’application par le nouveau Microsoft Edge de la mise à jour mensuelle cumulative de sécurité de Windows 10 qui sortira en Avril.