Patch Tuesday – Avril 2021 : la NSA découvre 4 nouvelles failles dans Exchange
Ce Patch Tuesday d'Avril 2021 est encore riche en correctifs ! Au total, Microsoft a corrigé 108 vulnérabilités, dont 5 failles Zero-Day. La NSA de son côté a dévoilé quatre failles au sujet de Microsoft Exchange.
Parmi ces 108 failles de sécurité, il y en a 89 qui sont classées comme étant importantes et 19 considérées comme critiques. Ce qui est plus gênant, ce sont les 5 vulnérabilités zero-day corrigées par ce correctif mensuel. Les produits touchés sont divers et variés comme chaque mois, en voici quelques-uns : Hyper-V, Visual Studio Code, Windows Installer, le noyau Windows, le pilote TCP/IP de Windows, Windows Media Player, etc... mais aussi de nombreuses failles dans Windows RPC Runtime.
Pour Windows 10, voici les mises à jour cumulatives d'Avril 2021 :
- KB5001340 pour Windows 10 version 1507
- KB5001347 pour Windows 10 version 1607
- KB5001339 pour Windows 10 version 1803
- KB5001342 pour Windows 10 version 1809
- KB5001337 pour Windows 10 version 1909
- KB5001330 pour Windows 10 v2004 (20H1) et 20H2
Cinq failles Zero-Day
Parlons de ces failles Zero-Day... La bonne nouvelle, c'est qu'il n'y en a 4 parmi les 5 qui n'ont pas été exploitées par les hackers pour le moment. Il y a notamment une faille qui touche le système de fichiers NTFS et qui permet une attaque par déni de service. Voici le nom des vulnérabilités en question :
- CVE-2021-27091
- CVE-2021-28312
- CVE-2021-28437
- CVE-2021-28458
La mauvaise nouvelle, vous l'aurez compris, c'est qu'il y en a une qui est déjà exploitée. En l'occurrence, la faille référencée sous le nom CVE-2021-28310 serait exploitée par le groupe BITTER APT, mais aussi d'autres groupes, d'après l'éditeur Kaspersky. D'ailleurs, c'est le chercheur en sécurité de chez Kaspersky, Boris Larin, qui a fait cette découverte. Cette vulnérabilité permet une élévation de privilèges au sein de Windows à partir d'une attaque locale. Windows 10 est concerné par cette vulnérabilité, mais également Windows Server.
La NSA découvre quatre nouvelles failles dans Exchange
La solution de messagerie Microsoft Exchange continue sur sa lancée du mois dernier, même si l'on s'en serait bien passé. Dans la continuité des failles critiques déjà corrigées le mois dernier par Microsoft, cette fois-ci c'est la NSA, l'Agence de Sécurité Américaine, qui dévoile 4 failles critiques situées dans Exchange. Il s'agit de quatre vulnérabilités qui permettent une exécution de code à distance, voici leur petit nom :
- CVE-2021-28480
- CVE-2021-28481
- CVE-2021-28482
- CVE-2021-28483
Plusieurs versions d'Exchange sont touchées : Exchange 2013, Exchange 2016 et Exchange 2019. Plus précisément, des mises à jour sont disponibles pour les versions suivantes : Exchange Server 2013 CU23, Exchange Server 2016 CU19 et CU20, et Exchange Server 2019 CU8 et CU9. Il est à noter qu'il faut installer la bonne CU avant de pouvoir installer le correctif, comme l'explique Microsoft :
Microsoft en profite pour préciser que les utilisateurs d'Exchange Online ne sont pas concernés par cette vulnérabilité. Plus d'informations sont disponibles sur une page dédiée pour ces nouvelles vulnérabilités qui touchent Exchange : CVE Exchange - Avril 2021
J'en profite également pour vous informer que Google a publié une mise à jour pour Chrome dans le but de corriger la faille de sécurité zero-day diffusée sur Twitter par Rajvardhan Agarwal, un chercheur en sécurité. Edge bénéficie lui aussi d'une mise à jour pour corriger plusieurs failles de sécurité.
