"La mise à jour Patch Tuesday de ce mois-ci comprend 116 vulnérabilités, dont 12 jugées critiques. C’est la deuxième fois en 2021 que Microsoft corrige plus de 100 vulnérabilités et la version de ce mois-ci contient le plus grand nombre de correctifs depuis le début de l’année.”

"Dans la version de ce mois-ci, Microsoft a corrigé six vulnérabilités dans Exchange Server. Il convient de noter particulièrement CVE-2021-34473, une faille d’exécution de code à distance, et CVE-2021-34523, une vulnérabilité d’élévation de privilège, qui, selon Microsoft, ont toutes deux été corrigées dans le cadre de ses mises à jour de sécurité d’avril 2021. Cependant, ces CVEs ont été en quelque sorte omises dans ladite release. CVE-2021-34473 est plus susceptible d’être exploitée selon l’indice d’exploitabilité de Microsoft.

"Les organisations qui ont appliqué les mises à jour de sécurité d’avril 2021 ont traité les CVE-2021-34473 et CVE-2021-34523.

"Dans la version Patch Tuesday d’avril 2021, Microsoft avait corrigé quatre autres vulnérabilités critiques d’Exchange Server créditées à la NSA, et qui faisaient suite à un correctif hors bande de mars corrigeant quatre zero-days dans Exchange Server qui avaient été exploités dans la nature, y compris ProxyLogon.

"Depuis la découverte de ProxyLogon, chercheurs et attaquants ont continué à explorer Exchange Server à la recherche de failles supplémentaires. En fait, CVE-2021-31196, une autre vulnérabilité d’exécution de code à distance dans Exchange Server corrigée dans la version de juillet, est attribuée à Orange Tsai de l’équipe DEVCORE. C’est à l’équipe DEVCORE que l’on doit la découverte de ProxyLogon."