Un mois relativement léger, mais dense. C’est ainsi que l’on peut résumer le Patch Tuesday du mois de novembre. En effet, Microsoft a corrigé le 55 vulnérabilités dont 6 failles de type zero day. Les brèches se situent dans Windows (y compris Windows 11) et ses composants, Azure, RTOS, Sphere ; Dynamics, Edge (basé sur Chromium), Exchange Server, Office, Windows Hyper-V, Windows Defender et Visual Studio.

Dans ce catalogue, les experts exhortent les entreprises à donner la priorité aux correctifs pour Exchange et Excel. La CVE-2021-42321 concerne des problèmes de validation des arguments de command-let (cmdlet), des commandes utilisées dans l’environnement PowerShell. Elles sont invoquées par le moteur d’exécution PowerShell dans le cadre de scripts d’automatisation fournis en ligne de commande ou invoqués de manière programmatique par PowerShell via des API. La gravité de la faille est de 8,8 mais comme l’indique Satnam Narang, ingénieur chez Tenable, « un attaquant doit être authentifié, ce qui limite une partie de l’impact de la vulnérabilité ». De son côté Microsoft dit avoir connaissance d’attaques « ciblées et limitées » et a publié un billet de blog sur le modus operandi.

Correction d’Excel et de Windows Defender en urgence

Autre faille critique à corriger en urgence, la CVE-2021-42292 qui contourne une fonction de sécurité de Excel pour Windows et MacOS. Elle pourrait exécuter du code à l’ouverture d’un fichier spécialement conçu. Cette faille a été découverte par MSTIC (le centre de Threat Intel de Microsoft) qui précise qu’elle est également activement exploitée actuellement. Selon la ZDI (Zero Day Intitiative) de Trend Micro, « le problème est probablement dû au chargement d’un code qui devait se trouver derrière une invite, mais pour une raison quelconque, cette invite n’apparaît pas, contournant ainsi cette fonction de sécurité ». Le score de gravité est de 7,8 et à noter que la mise à jour ne concerne que les systèmes Windows. Celles pour Office sur Mac ne sont pas encore disponibles.

Toujours dans la liste des priorités des administrateurs systèmes, la faille CVE-2021-42298 touche Windows Defender. Une brèche jugée critique et à ne pas prendre à la légère par les experts en sécurité. « Cette CVE doit être une priorité pour toutes les entreprises », précise Danny Kim, architecte principal chez Virsec dans un communiqué. Microsoft rappelle que Windows Defender fonctionne sur toutes les versions de Windows, de sorte que la surface d’attaque augmente fortement. L’analyste précise que «  cette CVE nécessite une interaction avec l’utilisateur, cependant, les attaquants peuvent utiliser l’ingénierie sociale et le phishing pour obtenir facilement cette interaction ».