Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité numérique : les attaquants ont-ils toujours un temps d’avance ?

16 juin 2021 - 10:19,
Tribune - Charles Blanc-Rolin
Je sais pertinemment que nos modestes systèmes d’information de santé français ont logiquement assez peu de chance d’être victimes d’attaques basées sur l’exploitation de vulnérabilités encore inconnues des éditeurs, mais je trouve assez effrayant de voir le nombre de vulnérabilités dites « 0 Day » révélées ces derniers mois…

La semaine dernière encore, Microsoft publiait dans son traditionnel « patch tuesday », des correctifs pour six vulnérabilités activement exploitées, quand même !

La CVE-2021-33742 [1] affectant le moteur Web Trident utilisé par Internet Explorer, mais pas que ! Même si Microsoft ne s’est pas étendu sur le sujet, d’autres applicatifs comme Outlook par exemple, qui s’appuie également sur Trident, pourraient bien être dans le viseur. Cette vulnérabilité pourrait permettre à un attaquant de réaliser une exécution de code arbitraire à distance.

Deux vulnérabilités permettant de réaliser une élévation de privilèges, les CVE-2021-31199 [2] et CVE-2021-31201 [3] affectent la librairie cryptographique de Windows. Elles ont été découvertes suite à l’exploitation de la « 0 Day » référencée CVE-2021-28550 permettant une exécution de code arbitraire à distance corrigée le 11 mai dernier dans Acrobat Reader [4]. Une vulnérabilité « 0 Day » dans Acrobat + deux dans Windows, on peut aisément imaginer qu’il s’agit d’un « gros client ».

Toujours côté Windows, deux autres vulnérabilités, les CVE-2021-33739 [5] et CVE-2021-31956 [6], permettent de réaliser une élévation de privilèges, et la CVE-2021-31955 [7] affectant directement le noyau de Windows, permet de porter atteinte à la confidentialité des données. Il est à noter que cette dernière a été découverte par le même chercheur à l’origine de la trouvaille concernant la vulnérabilité CVE-2021-31956 affectant le système de fichiers NTFS, ce qui pourrait laisser penser qu’elles ont été utilisées conjointement par les attaquants à l’origine de leur exploitation.

Depuis le début de l’année, nous sommes à 14 vulnérabilités de type « 0 Day » dans les produits Microsoft. Rappelez-vous notamment les 4 vulnérabilités affectant les serveurs de messagerie Exchange corrigées dans l’urgence en mars dernier [8], ou encore la CVE-2021-26411 [9] affectant Internet Explorer.

La semaine dernière encore, Google annonçait également la correction d’une vulnérabilité activement exploitée dans son navigateur Chrome [10], soit la 7ème « 0 Day » corrigée depuis janvier !

Côté Acrobat Reader, 2 vulnérabilités « 0 Day » permettant de réaliser une exécution de code arbitraire à distance sur Windows ont reçu des correctifs dans les six derniers mois.

Cette semaine, c’est Apple qui corrige 2 nouvelles « 0 day » permettant de réaliser une exécution de code arbitraire à distance dans son système mobile iOS [11].
Fin mai, c’est dans un logiciel malveillant ciblant macOS qu’une vulnérabilité « 0 Day » était découverte [12].

Au niveau des accès externes, on notera également la « 0 Day » affectant les appliances de type « extranet » SMA, qui semblent avoir donné du fil à retordre aux équipes de Sonicwall [13] depuis janvier, et la CVE-2021-22893 [14] affectant le client VPN Pulse Secure, qui obtient un score CVSS 3.1 de 10/10 !

Je ne sais pas si l’été sera chaud, mais les attaquants, eux, sont bouillants !


[1] https://portal.msrc.microsoft.com/security-guidance/advisory/CVE-2021-33742

[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31199

[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31201

[4] https://helpx.adobe.com/security/products/acrobat/apsb21-29.html

[5] https://portal.msrc.microsoft.com/security-guidance/advisory/CVE-2021-33739

[6] https://portal.msrc.microsoft.com/security-guidance/advisory/CVE-2021-31956

[7] https://portal.msrc.microsoft.com/security-guidance/advisory/CVE-2021-31955

[8] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

[9] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26411

[10] https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop.html

[11] https://support.apple.com/en-us/HT212548

[12] https://www.jamf.com/blog/zero-day-tcc-bypass-discovered-in-xcsset-malware/

[13] https://www.sonicwall.com/support/product-notification/additional-sma-100-series-10-x-and-9-x-firmware-updates-required-updated-april-29-2021-12-30-p-m-cst/210122173415410/

[14] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.