De multiples vulnérabilités critiques affectant les produits Microsoft

Origine: bjCSIRT

Numéro: 2021/ALERTE/014

Date de l’alerte: 14/04/2021

APERÇU :

Des mises à jour de sécurité ont été publiées par Microsoft corrigeant 114 failles affectant ses produits. Parmi ces différentes vulnérabilités, 19 critiques ont été répertoriées dont quatre (04) affectent Microsoft Exchange.

DESCRIPTION :

En Avril 2021, plusieurs produits de Microsoft dont Edge (basé sur Chromium), Microsoft Windows, Azure et Azure DevOps Server, Microsoft Office, SharePoint Server, Hyper-V, Team Foundation Server, Visual Studio, et Exchange Server, sont affectés par les différentes failles récemment publiées. Il s’agit du plus grand nombre de CVE traitées en un mois par Microsoft au cours de cette année. Les différentes failles affectant Microsoft Exchange devraient être traitées avec la plus grande attention à cause de leur criticité.

Libellées CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 et CVE-2021-28483, ces différentes failles pourraient conduire à une exécution de code et une compromission complète des systèmes affectés. Deux de ces quatre vulnérabilités (CVE-2021-28480, CVE-2021-28481) ne nécessitent aucune authentification, ce qui signifie qu’un attaquant non authentifié auprès du serveur Exchange vulnérable pourrait exploiter la faille.

IMPACT :

  • Exécution de code
  • Compromission complète des serveurs Exchange

SYSTEMES AFFECTÉS :

  • Microsoft Windows,
  • Edge (basé sur Chromium),
  • Azure et Azure DevOps Server,
  • Microsoft Office,
  • SharePoint Server,
  • Hyper-V,
  • Team Foundation Server,
  • Visual Studio,
  • Exchange Server ;

MESURES À PRENDRE :

Appliquer les dernières mises à jour de sécurité d’avril 2021

REFERENCES :

  • https://www.govinfosecurity.com/microsoft-patches-4-additional-exchange-flaws-a-16396
  • https://www.zerodayinitiative.com/blog/2021/4/13/the-april-2021-security-update-review
  • https://www.bleepingcomputer.com/news/security/nsa-discovers-critical-exchange-server-vulnerabilities-patch-now/
  • https://securityboulevard.com/2021/04/microsoft-patch-tuesday-april-2021-fixes-108-vulnerabilities-including-5-zero-days
Partagez sur vos réseaux.