Publicité en cours de chargement...

Publicité en cours de chargement...

Le zéro-day qui sent pas bon du tout

30 jan. 2019 - 18:03,
Tribune - Cédric Cartau
Sécurité
Une des ingénieures de mon CHU a remonté l’information suivante : le webzine Zdnet mentionne[1] un zero-day particulièrement dangereux sur Exchange.  

Dans certaines conditions, un attaquant peut passer par l’Active Sync (ouvert à peu près partout) pour réaliser une élévation de privilèges sur le serveur de messagerie interne de l’établissement, voire devenir admin de l’AD.

Microsoft n’a pas encore publié de patch à l’heure d’écriture de ces lignes, mais fournit un mode opératoire permettant de se protéger à minima contre l’attaque. Le hic c’est que l’on est sur des manipulations qui, en toute logique, doivent passer par des tests : modifications de paramètres internes, de la base de registre, etc. Sinon on peut aussi couper l’ActiveSync pour quelques jours, mais là c’est un problème utilisateur.

Dans l’intervalle, si le service EWS n’est pas activé le risque semble moindre, mais la vigilance est de mise. 

[1] https://www.zdnet.com/article/microsoft-exchange-vulnerable-to-privexchange-zero-day/ 

# Grand-est# Microsoft exchange# Élévation de privilèges# Patch de sécurité# Vulnérabilités# Sécurité informatique

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La société Nexpublica France sanctionnée par la Cnil

La société Nexpublica France sanctionnée par la Cnil

06 jan. 2026 - 07:56,

Actualité

- Damien Dubois, DSIH

Le 22 décembre 2025, la Cnil a annoncé avoir infligé une amende de 1 700 000 euros à la société Nexpublica France pour manquement à l’obligation d’assurer la sécurité des données personnelles.

Illustration Mise en place du Registre national des cancers

Mise en place du Registre national des cancers

06 jan. 2026 - 07:54,

Actualité

- Damien Dubois, DSIH

Un décret du Conseil d’État, paru le 28 décembre, fixe les modalités de mise en œuvre du Registre national des cancers. La loi du 30 juin 2025 confiait le pilotage et la production des données d’épidémiologie et de soins à l’Institut national du cancer.

Illustration Cyber : on est les meilleurs !

Cyber : on est les meilleurs !

06 jan. 2026 - 07:46,

Tribune

-
Cédric Cartau

En 2025, on n’aura pas gagné la Coupe du monde de foot, on n’aura pas trouvé de pétrole sous l’Arc de Triomphe, on n’aura pas rapatrié Gemplus (que les Américains nous ont chipé dans les règles de l’art), mais on aura battu un record : celui du pays qui cumule le plus de fuites de données personnell...

VIDAL lance un programme stratégique d’intégration IA générative à sa base de connaissances médicales

23 déc. 2025 - 07:21,

Communiqué

- VIDAL

VIDAL, spécialiste européen de l’aide à la décision thérapeutique, engage un programme stratégique pour connecter les technologies d’Intelligence Artificielle (IA) de pointe à sa base de connaissances médicales et à ses outils d’aide à la décision (CDS), reconnus pour leur fiabilité. Ce projet marqu...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

A propos

Nous suivre

Contact

Abonnement

DSIH Magazine

Nos marques

Logo DSIHLogo Thema Radiologie