Mars 2021: Windows 10 recevra de nombreuses mises à jour de sécurité
Avant le patch Tuesday, Microsoft a publié une série de mises à jour de sécurité dans le désordre corrigeant quatre vulnérabilités zero-day dans Exchange Server
Le prochain Patch Tuesday devrait être chargé car il y a eu beaucoup de nouvelles sur la sécurité ces jours-ci.
Le centre de réponse aux incidents de sécurité Microsoft a signalé des attaques connues sur les serveurs Microsoft Exchange par le groupe de hackers Hafnium. Dans leurs attaques, les attaquants ont exploité quatre vulnérabilités avec les identifiants CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065. Ce sont toutes des vulnérabilités d'exécution de code à distance avec un score de base CVSS v3 de 7,8 à 9,1. Microsoft a déclaré que les attaques sont actives et que les serveurs d'accès externes doivent être mis à jour dès que possible. La société a également préparé plusieurs scripts PowerShell pour aider à déterminer si un serveur a été compromis.
Les dernières mises à jour de sécurité développées par Microsoft pour remédier à ces vulnérabilités ne sont disponibles que pour Exchange Server 2013 (CU23), Exchange Server 2016 (CU18 ou CU19) et Exchange Server 2019 (CU7 ou CU8). Vous devez installer les dernières mises à jour cumulatives avant d'installer les correctifs. Les mises à jour sont appliquées automatiquement avec la nécessité de redémarrer les serveurs.
En outre, Microsoft a publié une mise à jour distincte pour Exchange Server 2010 SP3 conformément à Defense in Depth. Notamment, Exchange Server 2010 n'est pas vulnérable à cette attaque particulière, mais Microsoft a décidé de corriger plusieurs vulnérabilités associées dans ce produit. Exchange Online n'est pas affecté par ces vulnérabilités. Le prochain ensemble de mises à jour cumulatives, qui sera publié en mars pour les trois versions concernées d'Exchange Server, comprendra les mises à jour de sécurité requises.
Pour rappel, Microsoft a corrigé relativement peu de vulnérabilités en février. Nous sommes habitués à ce que l'entreprise corrige régulièrement 50 vulnérabilités ou plus dans Windows 10, mais il n'y en avait que 28 en février. Redmond a déjà corrigé quatre vulnérabilités zero-day dans ces mises à jour extraordinaires, mais voyons maintenant quelles mises à jour nous pouvons attendez cette semaine:
Un grand nombre de correctifs de vulnérabilité sont attendus en mars dans Windows 10 et d'autres systèmes d'exploitation Windows pris en charge, ainsi que dans les serveurs Office, Microsoft 365 et SharePoint. Plusieurs mois se sont écoulés sans les mises à jour d'Internet Explorer, de sorte que la probabilité de leur publication est élevée. Microsoft a précédemment annoncé qu'il inclurait les mises à jour de la pile de services (SSU) dans la mise à jour cumulative de Windows 10.
Adobe a publié des mises à jour de sécurité pour nombre de ses produits au cours du mois dernier. Cette fois, la société n'a fait aucune annonce préliminaire, vous ne devriez donc pas vous attendre à des mises à jour majeures.
Apple publie régulièrement des mises à jour de sécurité et de performances pour macOS Big Sur, mais nous n'avons jamais vu les correctifs pour iTunes qui devaient être publiés le mois dernier. Cette fois, les chances sont encore plus élevées.
Google publie des mises à jour de sécurité une semaine avant les correctifs du mardi. La semaine dernière, Chrome pour Windows, Mac et Linux a été mis à jour vers la version 89.0.4389.72, qui contient 47 correctifs de sécurité. Puis une autre version, 89.0.4389.82, a été publiée. Aucune autre mise à jour n'est prévue cette semaine.
Le 23 février, Mozilla a publié une série de mises à jour de sécurité mineures pour Firefox, Firefox ESR et Thunderbird. Une mise à jour de sécurité plus importante arrive cette semaine.
Une fois de plus, si vous utilisez des produits Microsoft Exchange Server, vous devez installer les mises à jour de sécurité disponibles dès que possible pour assurer la protection.