Microsoft a corrigé les vulnérabilités critiques d’exécution de code à distance dans plusieurs versions de SharePoint avec les mises à jour de sécurité Office de ce mois-ci.

Au total, ce mois-ci, la société a publié 23 mises à jour de sécurité et 5 mises à jour cumulatives pour 7 produits différents, corrigeant 9 vulnérabilités qui pourraient permettre aux attaquants d’exécuter du code arbitraire à distance sur des systèmes vulnérables.

Redmond a également publié les mises à jour de sécurité du Patch Tuesday de décembre 2020, avec des mises à jour de sécurité pour 58 vulnérabilités, dont neuf ont été jugées critiques.

Des mises à jour Windows non liées à la sécurité ont également été publiées avec les mises à jour cumulatives Windows 10 KB4592449 et KB4592438.

Bogue d’exécution de code à distance pré-authentification SharePoint

Les points forts des mises à jour de sécurité de Microsoft Office de ce mois-ci sont sans aucun doute les deux bogues de sécurité RCE affectant Microsoft SharePoint.

Alors que le premier suivi comme CVE-2020-17121 nécessite que les attaquants disposent de privilèges utilisateur de base pour l’exploitation, le second suivi comme CVE-2020-17118 peut être exploité à distance sans authentification.

Pour exploiter avec succès CVE-2020-17118 dans des attaques de faible complexité, les attaquants doivent également inciter les cibles à ouvrir des fichiers Office conçus de manière malveillante.

Sur la base des informations fournies par Microsoft dans l’avis de sécurité, le code d’exploitation de preuve de concept CVE-2020-17118 est également disponible (bien que probablement partagé en privé) –

Le bogue a été découvert par Jonathan Birch, ingénieur logiciel de sécurité senior au sein de l’équipe de sécurité Microsoft Office et il affecte Microsoft SharePoint Server 2019, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 et Microsoft SharePoint Foundation 2010 Service Pack 2.

«Le code ou la technique n’est pas fonctionnel dans toutes les situations et peut nécessiter des modifications substantielles par un attaquant qualifié», explique Microsoft.

Problèmes de sécurité Microsoft Office traités dans ce …