Au cours du Patch Tuesday de ce mois-ci, Microsoft a corrigé une vulnérabilité Zero Day d’Excel exploitée à l’état sauvage par des acteurs malveillants.
Les zero-days, tels que définis par Microsoft, sont des bugs divulgués publiquement sans mises à jour de sécurité officielles.
La vulnérabilité, suivie sous le nom CVE-2021-42292, est un contournement de la fonction de sécurité à haute gravité que des attaquants non authentifiés peuvent exploiter localement dans des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.
Microsoft a également corrigé une deuxième faille de sécurité Excel utilisée lors du concours de piratage de la Tianfu Cup le mois dernier, un bug d’exécution de code à distance suivi comme CVE-2021-40442 et exploitable par des attaquants non authentifiés.
Heureusement, Microsoft affirme que le volet de prévisualisation de l’Explorateur Windows n’est pas un vecteur d’attaque pour les deux bugs.
Cela signifie qu’une exploitation réussie nécessite l’ouverture complète des fichiers Excel conçus de manière malveillante au lieu de simplement cliquer pour les sélectionner.
Les utilisateurs de Mac ont demandé d’attendre un correctif
Alors que Redmond a publié des mises à jour de sécurité pour les systèmes exécutant Microsoft 365 Apps for Enterprise et les versions Windows de Microsoft Office et Microsoft Excel, il n’a pas réussi à corriger les vulnérabilités sur macOS.
Les clients Mac exécutant des versions macOS de Microsoft Office et Microsoft ont été informés qu’ils devraient attendre un peu plus longtemps pour les correctifs CVE-2021-42292.
« La mise à jour de sécurité pour Microsoft Office 2019 pour Mac et Microsoft Office LTSC pour Mac 2021 ne sont pas disponibles immédiatement », Microsoft mentionné. « Les mises à jour seront publiées dès que possible, et lorsqu’elles seront disponibles, les clients seront informés via une révision de ces informations CVE. »
Les deux bugs ont été découverts par des chercheurs en sécurité du Microsoft Threat Intelligence Center.
Microsoft a également averti les administrateurs mardi de corriger immédiatement une vulnérabilité d’Exchange Server de haute gravité suivie comme CVE-2021-42321 et impactant les serveurs sur site exécutant Exchange Server 2016 et Exchange Server 2019.
Comme expliqué dans les avis de sécurité d’hier, une exploitation réussie peut permettre à des attaquants authentifiés d’exécuter du code à distance sur des serveurs vulnérables.