Pour la seconde fois cette année, Microsoft corrige moins de 60 failles dans sa mise à jour mensuelle de sécurité. Plus précisément 55 pour ce mois de mai touchant aussi bien Windows, .NET Core et Visual Studio, Internet Explorer, Office, SharePoint Server, Hyper-V, Skype for Business, Microsoft Lync... Sur cet ensemble de vulnérabilités, quatre sont considérées comme critiques, 50 importantes et une seule modérée en termes de gravité. Selon Microsoft, trois de ces bugs sont connus du public mais aucun n'est répertorié comme faisant l'objet d'une exploitation active au moment de la publication.
Parmi les failles corrigées, quatre ont été découvertes. « Microsoft a corrigé la CVE-2021-31166, une vulnérabilité d'exécution de code à distance dans la pile de protocoles HTTP (http.sys). Celle-ci a été découverte en interne par Microsoft et est considérée comme un exploit probable sur l'index d'exploitabilité de Microsoft. Pour tirer parti de cette brèche, l'attaquant doit cibler un serveur web vulnérable avec un paquet contenant le code d'exploitation. Cette vulnérabilité a pour particularité de s'auto-répliquer. Les organisations qui utilisent la pile de protocole HTTP dans leur architecture serveur devraient appliquer ces mises à jour immédiatement.
Des failles Exchange Server persistantes
Autre faille critique à corriger dès que possible : la CVE-2021-28476 au score CVSS de 9,9, qui concerne Hyper V vulnérable à l'exécution de code distant. Microsoft note qu'un attaquant est plus susceptible d'exploiter de cette faiblesse pour du déni de service que de l'exécution de code malveillant. Pour cette raison, l'attaque pourrait être qualifiée d’élevée, portant l'évaluation CVSS à 8,5. Les deux autres vulnérabilités classées critiques, CVE-2021-31194 et CVE-2021-26419, concernent respectivement l’exécution de code à distance d'OLE Automation et la corruption de la mémoire du moteur de script.
Microsoft a également dû combler une vulnérabilité CVE-2021-27068 dans Visual Studio 2019 qui pourrait permettre l'exécution de code. Elle est inhabituelle parce qu'elle est répertoriée comme ne nécessitant également aucune interaction avec l'utilisateur. Si pour fonctionner, l'attaquant doit procéder à de l'escalade de privilèges, la complexité de l'attaque est répertoriée comme faible. La firme de Redmond a par ailleurs corrigé quatre vulnérabilités dans Exchange Server révélés lors du récent concours de hack Pwn2Own. Les failles, qui incluent CVE-2021-31198, CVE-2021-31207, CVE-2021-31209 et CVE-2021-31195, sont toutes classées importantes ou modérées. Cette dernière est attribuée à Orange Tsai de l'équipe de recherche DEVCORE, responsable de la divulgation de la vulnérabilité ProxyLogon sur Exchange Server, corrigée en mars dernier. A noter que toutes ces techniques utilisées pendant le concours ne nécessitaient pas d'interaction avec l'utilisateur.