Microsoft publie ses mises à jour de sécurité mensuelles afin de corriger un total de 108 vulnérabilités dans Windows et d'autres produits. Selon le décompte de Zero Day Initiative, 19 sont critiques, 4 ont fait l'objet d'une divulgation publique et une vulnérabilité est de type 0day (exploitation active dans des attaques avant la disponibilité du correctif).
La vulnérabilité 0day est référencée CVE-2021-28310. Elle est présentée comme une vulnérabilité d'élévation de privilèges affectant le composant Win32k (le pilote en mode noyau win32k.sys) dans Windows. Il est précisé une exploitation en local, mais avec le risque habituel d'une exploitation avec d'autres vulnérabilités pour une attaque.
Des chercheurs de Kaspersky ont analysé l'exploit en rapport avec CVE-2021-28310. " Cet exploit est probablement utilisé avec d'autres exploits pour le navigateur pour échapper aux protections sandbox ou obtenir des privilèges système pour un accès supplémentaire. " Ils ajoutent ne pas avoir été en mesure de capturer une chaîne d'attaque complète. " Nous ne savons pas si l'exploit est utilisé avec une autre 0day pour le navigateur ou associé à des vulnérabilités connues ou corrigées. "
La vulnérabilité réside plus exactement dans dwmcore.dll qui fait partie de Desktop Window Manager (dwm.exe ; le gestionnaire de fenêtres). Elle serait exploitée par un groupe identifié en tant que Bitter APT suspecté d'être localisé en Asie du Sud. Ce groupe APT (Advanced Persistent Threat) a surtout fait parler de lui pour des campagnes de cyberespionnage avec des cibles au Pakistan, Inde, Arabie saoudite, Chine.
Quatre nouvelles failles Exchange signalées par la NSA
Pour le Patch Tuesday d'avril, quatre vulnérabilités critiques CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 et CVE-2021-28483 ont été signalées par l'agence nationale de sécurité américaine NSA, même si deux d'entre elles ont également été découvertes en interne par Microsoft.
Il s'agit de vulnérabilités affectant une nouvelle fois Exchange Server (versions 2013 à 2019) et avec des correctifs pour des serveurs de messagerie avec une solution sur site.
Le mois dernier, une cyberattaque exploitant des vulnérabilités 0day dans Exchange Server et menée par un groupe Hafnium pour le déploiement de web shell sur les serveurs compromis avait fait grand bruit. Ce groupe serait basé en Chine et aurait agi par l'intermédiaire de serveurs privés virtuels loués aux États-Unis.
" Nous n'avons pas vu les vulnérabilités (ndlr : les nouvelles découvertes et différentes de celles de mars) utilisées dans des attaques contre nos clients. Cependant, étant donné que des adversaires se sont récemment concentrés sur Exchange, nous recommandons aux clients d'installer les mises à jour dès que possible pour s'assurer qu'ils restent protégés contre ces menaces et d'autres ", écrit Microsoft.
Just Released: We issued supplemental direction v2 to Emergency Directive (ED) 21-02 which requires federal agencies to apply the Windows Server April 2021 security update to all affected Exchange Servers. Learn more: https://t.co/D41DIQnhlg #InfoSec #InfoSecurity pic.twitter.com/cgA9U2OSiB
— Cybersecurity and Infrastructure Security Agency (@CISAgov) April 13, 2021
Une urgence qui est également soulignée par l'agence américaine en charge de la cybersécurité et de la sécurité des infrastructures. La Cisa rappelle que lorsqu'une mise à jour est rendue publique, les vulnérabilités sous-jacentes peuvent faire l'objet de rétro-ingénierie pour la création d'un exploit.
