Déjà bien fournie, la liste des failles informatiques s’allonge. Des vulnérabilités importantes ont en effet été décelées dans Microsoft Exchange et dans iOS, iPadOS et watchOS.
La National Security Agency des États-Unis (CISA) a découvert et notifié à Microsoft deux vulnérabilités d’Exchange Server qui pourraient permettre aux hackers d’accéder aux réseaux d’entreprise et de les contrôler en permanence, annonce CRN. L’agence indique dans une note adressée aux administrations fédérales note avoir « observé une exploitation active des vulnérabilités dans les produits Microsoft Exchange sur site » et précise que « ni les vulnérabilités ni l’activité d’exploitation identifiée ne sont actuellement connues pour affecter les déploiements Microsoft 365 ou Azure Cloud ». Elles impactent sur les serveurs Microsoft Exchange sur site 2013, 2016 et 2019.
Les deux vulnérabilités découvertes par la NSA ont reçu une cote de gravité de 9,8 sur 10, indiquant leur criticité. Elles sont par ailleurs susceptibles d’être transformées en armes.
Microsoft recommande aux clients d’installer les mises à jour dès que possible pour s’assurer qu’ils restent protégés contre ces menaces et d’autres éventuelles.
Des attaques de Microsoft Exchange sont apparues pour la première fois le 3 mars, lorsque la société a révélé quatre vulnérabilités dans les versions sur site d’Exchange. Deux jours plus tard, KrebsOnSecurity rapportait que des pirates chinois avaient profité de ces vulnérabilités pour subtiliser les e-mails d’au moins 30.000 organisations à travers les États-Unis. Le 10 mars, Eset indiquait qu’au moins 10 groupes de piratage avancé différents avaient profité de vulnérabilités zero-day, précisant que certains d’entre eux avaient eu accès aux détails des failles avant que Microsoft ne publie ses correctifs. La firme de Redmond ajoutait que la possibilité que les hackers aient procédé à une ingénierie inverse des mises à jour de l’éditeur ne pouvait être écartée.
Apple a de son côté aussi fait l’objet d’une attaque zero-day affectant ses systèmes d’exploitation iOS, iPadOS et watchOS. Dans une note, la firme à la pomme indique que la faille de sécurité est en train d’être colmatée avec les versions release iOS 14.4.2 et iPadOS 14.4.2.
La liste des appareils touchés comprend l’iPhone 6s et les versions ultérieures, toutes les versions de l’iPad Pro, l’iPad Air 2 et les versions ultérieures, la 5e génération d’iPad et les versions ultérieures, l’iPad mini 4 et les versions ultérieures, ainsi que la 7e génération de l’iPod touch. Le géant de Cupertino a également publié des mises à jour de sécurité pour ses produits Apple Watch (watchOS 7.3.3). Compte tenu de la gravité de la menace, il a également déployé une mise à jour (iOS 12.5.2) pour les anciens appareils tels que l’iPhone 5s et l’iPhone 6.
Répertoriée comme CVE-2021-1879, la faille de sécurité réside dans WebKit, le moteur de navigateur web open-source d’Apple utilisé par le navigateur Safari, Mail et diverses autres applications iOS et iPadOS. « Le traitement d’un contenu Web malveillant peut conduire à un cross site scripting universel », précise Apple.
Dans une note destinée aux utilisateurs, Eset recommande à ces derniers de réaliser rapidement la mise à jour du logiciel et d’activer les mises à jour automatiques. Il leur suggère également de vérifier que leur identité n’est pas compromise en se connectant au site haveibeenpwned.com qui recense les fuites de données majeures.