Microsoft Patch Tuesday : 23 vulnérabilités critiques corrigées en septembre
septembre 2020 par Satnam Narang, Principal Research Engineer, chez Tenable
Pour le quatrième mois consécutif, Microsoft a patché plus de 120 CVE, corrigeant 129 CVE en septembre, dont 23 vulnérabilités critiques.
Satnam Narang, Principal Research Engineer, chez Tenable, commente :
« Certaines des vulnérabilités les plus sévères, identifiées ce mois-ci, incluent une paire de failles d’exécution de code à distance dans Microsoft SharePoint, CVE-2020-1210, ainsi qu’une vulnérabilité critique dans Microsoft Exchange Server, CVE-2020-16875.
CVE-2020-1210 est une vulnérabilité dans SharePoint due à une vérification défaillante des packages d’application. Pour exploiter cette faille, un cybercriminel doit être en mesure de charger un package d’application SharePoint sur un site SharePoint vulnérable. Cette vulnérabilité rappelle une faille similaire d’exécution de code à distance SharePoint, CVE-2019-0604, qui a été exploitée dans la nature depuis au moins avril 2019. CVE-2020-1576 est une autre faille SharePoint corrigée ce mois-ci qui ressemble aussi à CVE- 2020-1210.
CVE-2020-16875 est, pour sa part, une vulnérabilité de corruption de mémoire dans Microsoft Exchange Server liée à une mauvaise gestion des objets en mémoire. L’exploitation de cette faille exigerait simplement qu’un cybercriminel envoie un e-mail malveillant contenant le code d’exploitation à un serveur Exchange vulnérable. Cette vulnérabilité lui permettrait alors d’exécuter du code arbitraire, lui octroyant les privilèges pour créer de nouveaux comptes, accéder, modifier ou supprimer des données et installer des programmes. »