Chris Goettl, Manager of Product Management, Security chez Ivanti, nous livre en exclusivité son analyse du Patch Tuesday de mars, marqué par quatre exploits Exchange Server et une mise à jour hors bande.
Nous devons parler ce mois-ci d’une vulnérabilité Zero Day supplémentaire dans Internet Explorer, qui a été exploitée, et de trois vulnérabilités divulguées publiquement. La mise à jour Microsoft Patch Tuesday de mars résout un total de 83 CVE (Common Vulnerabilities and Exposures) uniques.
Les produits Microsoft concernés ce mois-ci sont notamment l’OS Windows, Office, Internet Explorer, Edge, Exchange Server et Sharepoint, ainsi que de nombreux outils de développement. On compte aussi des mises à jour pour Azure, Azure DevOps et Azure Sphere.
Mise à jour Zero Day Exchange
Microsoft fournit une série de liens vers les nombreux articles pertinents concernant les vulnérabilités Exchange, les étapes permettant de savoir si votre environnement est infecté, les options d’atténuation permettant de protéger l’environnement à court terme, quitte à perdre certaines fonctionnalités, et la procédure à appliquer si vous pensez avoir détecté des indices de compromission. Leur publication a également été complétée par des mises à jour couvrant des versions/UC supplémentaires.
Il est très rare que Microsoft mette à jour les versions d’un produit qui ne sont plus prises en charge. Cela montre la gravité et l’étendue des attaques qui ciblent les produits Exchange Server sur site. Notes de version :
Raison de la révision : Microsoft publie des mises à jour de sécurité pour CVE-2021-27065, CVE-2021-26855, CVE-2021-26857 et CVE-2021-26858, pour plusieurs mises à jour cumulatives qui ne sont plus prises en charge, notamment Exchange Server 2019 CU 6, CU 5 et CU 4, et Exchange Server 2016 CU 16, CU 15 et CU 14.
Consultez les pages suivantes pour en savoir plus sur les vulnérabilités Microsoft Exchange Server :
- MSRC Blog
- Hafnium Targeting Exchange
- Microsoft on the Issues
- Exchange Team Blog
- March 8 Exchange Team Blog
- Microsoft Exchange Server Vulnerabilities Mitigations
Vulnérabilités exploitées et divulguées publiquement
Les navigateurs Internet Explorer et Edge (sur HTML) sont la cible d’attaques sauvages. Cette vulnérabilité a également été divulguée publiquement, ce qui pourrait provoquer d’autres menaces. CVE-2021-26411 est une vulnérabilité de corruption de la mémoire qui permet à un pirate de cibler des utilisateurs à l’aide de contenu spécialement conçu à cet effet. Le pirate peut utiliser des sites Web spécialement conçus, ou qui acceptent le contenu fourni par l’utilisateur ou des publicités pour héberger le contenu créé pour exploiter cette vulnérabilité.
Il existe une vulnérabilité divulguée publiquement (CVE-2021-27077) dans Windows Win32k, qui permet à un pirate d’élever ses privilèges sur le système infecté. Cette vulnérabilité est marquée « Important » et porte un score de base de 7,8. Cependant, le fait qu’elle ait été divulguée publiquement augmente sa dangerosité potentielle.
Une mise à jour .Net Core de février a été republiée pour fournir des liens vers les notes de version. Cette vulnérabilité de février avait été divulguée publiquement et son exploitation pourrait permettre l’exécution de code à distance (CVE-2021-26701). Cette vulnérabilité a été marquée « Critique ». Elle concerne Microsoft .Net 5.0, .Net Core 3.1 et 2.1, et Visual Studio versions 2019 et 2017.
Priorités de mise à jour pour mars :
- Exchange Server sur site est votre priorité numéro 1.
- OS Windows, Internet Explorer, Edge : vous devez vous occuper en priorité des vulnérabilités de navigateur Zero Day, et des autres vulnérabilités critiques et divulguées publiquement.
- SharePoint Server : même si elle n’a pas été divulguée ni exploitée, CVE-2021-27076 est une CVE critique, et Microsoft l’a étiquetée « Exploitation plus probable » dans son évaluation des risques d’exploitation.
Ivanti propose demain un webinaire pour présenter l’analyse du Patch Tuesday.