Accueil Cybersécurité Patch Tuesday de mai : attention à la CVE-2021-31207, classée « modéré » mais...

Patch Tuesday de mai : attention à la CVE-2021-31207, classée « modéré » mais au risque bien plus élevé

On compte ce mois-ci un certain nombre de vulnérabilités divulguées publiquement et une exploitation « Zero Day » pour Microsoft et Adobe. Au total, Microsoft résout 55 vulnérabilités, dont 18 sont classées « Critique ». L’analyse de Chris Goettl, Manager of Product Management, Security chez Ivanti pour les lecteurs de SOlutions Numériques.

Pour la mise à jour Microsoft du mois, la principale priorité est la mise à jour Microsoft Exchange, qui inclut un correctif pour la vulnérabilité CVE-2021-31207, apparue lors du Concours Pwn2Own 2021. Microsoft résout deux autres vulnérabilités divulguées publiquement ce mois-ci. Elles concernent les utilitaires communs, et figurent dans le jeu d’outils Open Source NNI (CVE-2021-31200), ainsi que dans .NET et Visual Studio (CVE-2021-31204)

Les administrateurs Microsoft Exchange ont eu la vie dure ces derniers mois. Cela a commencé par les exploitations « Zero Day » ciblées par HAFNIUM, pour continuer en avril avec la mise à jour Exchange qui résolvait 4 vulnérabilités découvertes par la NSA. Et la mise à jour de mai résout les premières vulnérabilités de la série présentée au Pwn2Own. La CVE-2021-31207 est seulement classée « Modéré », mais cette exploitation d’un contournement des fonctions de sécurité a été abondamment démontrée lors du concours Pwn2Own, et les détails de cette exploitation vont forcément être publiés à un moment ou un autre. Et alors, les pirates pourront tirer parti de la vulnérabilité, s’ils n’ont pas déjà commencé à tenter l’ingénierie inverse d’une exploitation.

Microsoft résout ce mois-ci deux autres vulnérabilités divulguées publiquement. CVE-2021-31200 est une vulnérabilité d’exécution de code à distance présente dans les utilitaires communs, qui consiste en un script python du jeu d’outils Open Source NNI (Neural Network Intelligence). CVE-2021-31204 est une vulnérabilité d’élévation des privilèges présente dans .NET et Visual Studio. Ces deux vulnérabilités à divulgation publique sont classées Important, mais leur divulgation augmente le risque d’exploitation.

12 mises à jour Adobe

Adobe publie 12 mises à jour pour le Patch Tuesday de mai. Ces mises à jour résolvent 42 CVE uniques, dont 16 sont classées Critique et dont une est activement exploitée dans des attaques ciblées (CVE-2021-28550). La mise à jour Adobe Acrobat et Reader (APSB21-29) est marquée Priorité 1, ce qui indique qu’elle résout une vulnérabilité activement exploitée. Les mises à jour Adobe Magento (APSB21-30) et Adobe Experience Manager (APSB21-15) ont été classées Priorité 2 par Adobe. Les mises à jour Adobe InDesign, Illustrator, InCopy, l’application de bureau Adobe Creative Cloud, Animate et Medium sont classées Priorité 3, mais certaines sont de type « Critique ». Les autres mises à jour Adobe sont classées Priorité 3 et certaines correspondent à des vulnérabilités marquées « Important ».

Mise à jour finale pour plusieurs versions de Windows 10 et Server

Sinon, ce mois de mai marque la mise à jour finale pour plusieurs versions de Windows 10 et de Server, alors veillez à mettre à jour ces systèmes vers des branches plus récentes pour éviter toute coupure de vos mises à jour de sécurité en juin. Windows 10 1803 et 1809, ainsi que Server 1909, ont tous reçu leur mise à jour finale lors du Patch Tuesday de mai 2021.

 

Vos priorités pour le Patch Tuesday de mai

  • Microsoft Exchange – En raison de la démonstration très publique de son exploitation lors du concours Pwn2Own, cette vulnérabilité doit être traitée comme représentant un risque bien plus élevé que le niveau « Modéré » attribué par Microsoft.
  • Systèmes d’exploitation Windows et Internet Explorer – Les mises à jour de l’OS et d’IE ce mois-ci concernent les 4 CVE critiques résolues. Il faut également leur porter une attention immédiate.
  • Vous devez déployer rapidement Adobe Acrobat et Reader, suivis de Magento et Experience Manager. Les mises à jour Priority 3 ne sont pas aussi urgentes, mais il faut les appliquer dès que vos tests le permettent.
  • Les utilitaires communs, .NET et Visual Studio sont moins susceptibles d’être ciblés mais, en raison des divulgations publiques, il ne faut pas les oublier trop longtemps.