Microsoft a publié aujourd’hui des correctifs pour combler au moins 55 failles de sécurité dans son les fenêtres systèmes d’exploitation et autres logiciels. Quatre de ces faiblesses peuvent être exploitées par des logiciels malveillants et des malcontents pour prendre le contrôle complet et à distance des systèmes vulnérables sans aucune aide des utilisateurs. Sur le pont ce mois-ci, des correctifs pour annuler une faille vermifuge, un bogue sans fil effrayant et une autre raison d’appeler à la mort de Microsoft Internet Explorer (IE) navigateur Web.
Bien que le mois de mai apporte environ la moitié du volume normal de mises à jour de Microsoft, certaines faiblesses notables méritent une attention rapide, en particulier de la part des entreprises. Au dire de tous, la priorité la plus urgente ce mois-ci est CVE-2021-31166, une faille de Windows 10 et Windows Server qui permet à un attaquant non authentifié d’exécuter à distance du code malveillant au niveau du système d’exploitation. Avec cette faiblesse, un attaquant pourrait compromettre un hôte simplement en lui envoyant un paquet de données spécialement conçu.
« Cela rend ce bogue vermifuge, même Microsoft l’appelant dans sa rédaction », a déclaré Dustin Childsavec ZDI de Trend Micro programme. « Avant de passer cela de côté, Windows 10 peut également être configuré en tant que serveur Web, il est donc également impacté. Mettez-le définitivement en haut de votre liste de test et de déploiement.
Kévin Breen à partir de Laboratoires immersifs a déclaré que le fait que celui-ci soit à seulement 0,2 point d’un score CVSS parfait de 10 devrait suffire à identifier à quel point il est important de corriger.
« Pour les opérateurs de rançongiciels, ce type de vulnérabilité est une cible de choix pour l’exploitation », a déclaré Breen. « Les exploits wormables devraient toujours être une priorité élevée, surtout s’ils concernent des services conçus pour être accessibles au public. Comme cet exploit spécifique ne nécessiterait aucune forme d’authentification, il est encore plus attrayant pour les attaquants, et toute organisation utilisant la pile de protocoles HTTP.sys devrait donner la priorité à ce correctif.
Breen a également attiré l’attention sur CVE-2021-26419 — une vulnérabilité dans Internet Explorer 11 – pour expliquer pourquoi IE doit signifier « Internet Exploder ». Pour déclencher cette vulnérabilité, un utilisateur devrait visiter un site contrôlé par l’attaquant, bien que Microsoft reconnaisse également qu’elle pourrait être déclenchée en incorporant des contrôles ActiveX dans les documents Office.
« IE doit mourir – et je ne suis pas le seul à le penser », a déclaré Breen. « Si vous êtes une organisation qui doit fournir IE11 pour prendre en charge les applications héritées, envisagez d’appliquer une politique aux utilisateurs qui limite les domaines accessibles par IE11 à ces seules applications héritées. Toute autre navigation Web doit être effectuée avec un navigateur pris en charge.
Un autre bug curieux corrigé ce mois-ci est CVE-2020-24587, décrit comme une « vulnérabilité de divulgation d’informations sur le réseau sans fil Windows ». Childs de ZDI a déclaré que celui-ci avait le potentiel d’être assez dommageable.
« Ce correctif corrige une vulnérabilité qui pourrait permettre à un attaquant de divulguer le contenu de paquets sans fil chiffrés sur un système affecté », a-t-il déclaré. « La portée d’une telle attaque n’est pas claire, mais vous devez supposer qu’une certaine proximité est nécessaire. Vous remarquerez également que ce CVE date de 2020, ce qui pourrait indiquer que Microsoft travaille sur ce correctif depuis un certain temps.
Microsoft a également corrigé quatre autres failles de sécurité dans son Serveur d’échange plate-forme de messagerie d’entreprise, qui a récemment été assiégée par des attaques sur quatre autres failles d’échange de jour zéro qui ont entraîné le piratage de centaines de milliers de serveurs dans le monde. L’un des bogues est attribué à Tsaï orange de l’équipe de recherche DEVCORE, qui était responsable de la divulgation de la vulnérabilité ProxyLogon Exchange Server qui a été corrigée dans une version hors bande en mars.
Le chercheur Orange Tsai commente que personne n’a deviné que le jour zéro à distance qu’il a signalé le 5 janvier 2021 à Microsoft était dans Exchange Server.
« Bien qu’aucune de ces failles ne soit considérée comme critique par nature, cela rappelle que les chercheurs et les attaquants examinent toujours de près Exchange Server pour détecter des vulnérabilités supplémentaires, de sorte que les organisations qui n’ont pas encore mis à jour leurs systèmes devraient le faire dès que possible », a déclaré Satnam Narangingénieur de recherche personnel à Défendable.
Comme toujours, c’est une bonne idée pour les utilisateurs de Windows de prendre l’habitude de mettre à jour au moins une fois par mois, mais pour les utilisateurs réguliers (lire : pas les entreprises), il est généralement prudent d’attendre quelques jours jusqu’à ce que les correctifs soient publiés, de sorte que Microsoft a le temps d’aplanir les défauts de la nouvelle armure.
Mais avant de mettre à jour, s’il te plaît assurez-vous d’avoir sauvegardé votre système et/ou vos fichiers importants. Il n’est pas rare qu’un package de mise à jour Windows étouffe son système ou l’empêche de démarrer correctement, et certaines mises à jour sont connues pour effacer ou corrompre des fichiers.
Alors rendez-vous service et sauvegardez avant d’installer des correctifs. Windows 10 a même quelques outils intégrés pour vous aider à le faire, soit par fichier/dossier, soit en créant une copie complète et amorçable de votre disque dur en une seule fois.
Et si vous souhaitez vous assurer que Windows a été configuré pour suspendre la mise à jour afin de pouvoir sauvegarder vos fichiers et/ou votre système avant que le système d’exploitation ne décide de redémarrer et d’installer les correctifs selon son propre calendrier, voir ce guide.
Si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, veuillez envisager de laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent donner ici quelques conseils utiles.