Les administrateurs vont avoir du pain sur la planche pour appliquer les différents bulletins de sécurité du Patch Tuesday. La livraison d’avril est particulièrement fournie avec pas moins de 114 correctifs annoncés. Par ordre de priorité, les brèches dans les serveurs Exchange sont à placer en haut de la liste. En effet, l'éditeur a comblé 4 nouvelles vulnérabilités - pas exploitées à ce jour, à savoir les CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 et CVE-2021-28483.

Un billet d'alerte spécial a d'ailleurs été spécifiquement rédigé à ce sujet. « Les clients qui ont installé les mises à jour de sécurité de mars 2021 peuvent installer celles d'avril 2021 et être protégés contre les vulnérabilités qui ont été révélées au cours des deux derniers mois. Si vous installez une mise à jour manuellement, ne double-cliquez pas sur le fichier .msp, mais exécutez plutôt l'installation à partir d'une invite CMD élevée », explique Microsoft. En outre, un petit outil très pratique a été mis en ligne par la firme de Redmond pour simplifier la marche à suivre pour remédier aux failles Exchange en fonction de leur version de serveur et de la mise à jour cumulative déjà installée.

A noter que ces 4 failles critiques ont été découvertes par la NSA et que Microsoft les a aussi trouvées en interne. Compte tenu de leur niveau de gravité et de la vague de piratage des serveurs Exchange qui a débuté au début de l'année, il est fortement recommandé aux entreprises d'installer en priorité les derniers correctifs. Une menace prise très au sérieux par les autorités américaines au point que le FBI a été autorisé par un tribunal de nettoyer à distance des serveurs Exchange compromis de sociétés sans avoir l’aval des administrateurs.

D'autres vulnérabilités à ne pas négliger

Dans sa salve de correctifs mensuels d'avril 2021, Microsoft corrige aussi Windows, Edge, Azure et Azure DevOps Server, Microsoft Office, SharePoint Server, Hyper-V, Team Foundation Server et Visual Studio. Outre les 4 failles Exchange critiques, 15 autres le sont également qu'il convient donc de ne pas négliger. Dont celles relatives à du code d'exécution non signé dans Azure Sphere, dans des appels de procédures distantes ou encore dans le décodeur vidéo Windows Media.

« La version de ce mois comprend également des correctifs pour neuf bogues de déni de service (DoS), y compris le DoS à taux modéré connu du public dans NTFS. L'autre bogue DoS qui subsiste affecte le pilote TCP / IP. Il semble qu’un attaquant puisse provoquer une saturation en envoyant des paquets spécialement conçus à un système affecté, bien qu’il ne soit pas certain que cela entraine un plantage. D'autres bogues DoS ont un impact sur SharePoint, le serveur de déploiement AppX, Hyper-V et d'autres composants Windows », ont prévenu les chercheurs de Zero Day Initiative.