- Mise à jour Windows
Patch Tuesday Aout 2021
Comme chaque 2nd mardi du mois Microsoft applique le patch Tuesday.
Ce patch Tuesday consiste à corriger des failles de sécurité et faire évoluer le produit.
Des bugs et des ralentissements peuvent intervenir sur vos postes et servers durant les jours qui suivent.
Pensez à redémarrer vos machines pour éviter tout désagrément.
Ce mois-ci, nous avons reçu des correctifs pour 51 vulnérabilités. Parmi ceux-ci, 7 sont critiques, 2 ont déjà été divulgués et 1 est exploité selon Microsoft.
La vulnérabilité exploitée est une élévation de privilège Windows Update Medic Service ( CVE-2021-36948 ). Cette vulnérabilité ne nécessite aucune interaction de l'utilisateur avec de faibles privilèges et a une faible complexité d'attaque. Le CVSS v3 pour cette vulnérabilité est 7.80.
Parmi les deux vulnérabilités précédemment divulguées, il y a une exécution de code à distance (RCE) affectant Windows Print Spooler ( CVE-2021-36936 ). Cette vulnérabilité peut être exploitée à partir du réseau, nécessite de faibles privilèges et aucune interaction de l'utilisateur. Microsoft a publié des correctifs pour corriger cette vulnérabilité sur pratiquement toutes les versions de Windows prises en charge et également pour Windows 7 non pris en charge. Le CVSS v3 pour cette vulnérabilité est 8.80.
La deuxième vulnérabilité précédemment divulguée est une vulnérabilité d'usurpation d' identité affectant Windows LSA ( CVE-2021-36942 ). Cette vulnérabilité pouvant être exploitée à distance (réseau), ne nécessite aucun privilège ni interaction de l'utilisateur. Selon l'avis de vulnérabilité, un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès d'un autre serveur utilisant NTLM. La mise à jour de sécurité publiée ce mois-ci par Microsoft bloque les appels d'API concernés ( OpenEncryptedFileRawA ) et ( OpenEncryptedFileRawW ) via l'interface LSARPC.
Pourtant, à propos de la vulnérabilité LSA Spoofing, bien qu'elle affecte tous les serveurs Windows, selon Microsoft, les contrôleurs de domaine doivent être prioritaires lors du processus de mise à jour. De plus, les utilisateurs doivent prendre d' autres mesures ( KB5005413 ) pour protéger leurs systèmes après avoir appliqué la mise à jour de sécurité. Le CVSS v3 pour cette vulnérabilité est de 7,5, mais, lorsqu'il est enchaîné avec des attaques de relais NTLM sur les services de certificats Active Directory (AD CS), est de 9,80.
Enfin, le CVSS le plus élevé ce mois-ci (9,90) est allé à la vulnérabilité d'exécution de code à distance TCP/IP de Windows ( CVE-2021-26424 ). Selon l'avis de vulnérabilité, cette vulnérabilité peut être déclenchée à distance par un invité Hyper-V malveillant envoyant un ping IPv6 à l'hôte Hyper-V. Un attaquant pourrait envoyer un paquet TCPIP spécialement conçu à son hôte en utilisant la pile de protocole TCPIP (tcpip.sys) pour traiter les paquets.