Dans le cadre de ses mises à jour de sécurité pour ce mois de novembre, Microsoft corrige pour ses produits un total de 55 vulnérabilités dont six critiques. Un total qui se situe dans la tranche basse. Deux vulnérabilités sont de type 0day avec une exploitation active dans des attaques alors qu'un patch n'était pas disponible.

CVE-2021-42292 est une vulnérabilité de contournement de la fonctionnalité de sécurité dans Microsoft Excel et CVE-2021-42321 est une vulnérabilité d'exécution de code à distance dans Microsoft Exchange Server.

La vulnérabilité CVE-2021-42292 a été découverte et signalée par le Microsoft Threat Intelligence Center. Pour la découverte de la vulnérabilité CVE-2021-42321, il y a plusieurs attributions avec des équipes de Microsoft, pwnforsp et la Tianfu Cup.

tianfu-cup

Ce concours de hacking s'est déroulé le mois dernier en Chine avec des chercheurs en sécurité qui ont remporté près de 1,88 million de dollars. Microsoft Exchange Server 2019 faisait partie des cibles pour des exploits préparés en amont.

À noter que pour le Patch Tuesday, quatre vulnérabilités ont fait l'objet d'une divulgation publique préalable. Elles impliquent des failles dans l'outil d'administration à distance Remote Desktop Protocol sur Windows et pour la visionneuse 3D (avec une mise à jour via le Microsoft Store).

Zero Day Initiative propose un récapitulatif des différentes vulnérabilités dans un format plus digeste que celui mis en ligne par Microsoft. Tenable propose également un tour d'horizon du Patch Tuesday de novembre.