En mars dernier, l’entreprise avait déployé en urgence un patch pour corriger des failles 0-day qui permettaient d'exécuter du code à distance dans Microsoft Exchange Server. Ce service est de nouveau sous le feu des projecteurs à cause d’une nouvelle brèche d’importance.

Cette fois-ci, « un attaquant non authentifié peut effectuer des actions de configuration sur des boîtes aux lettres appartenant à des utilisateurs ». On peut alors transférer une copie de l’ensemble des emails entrant ou sortant de la boîte de réception. Les détails techniques se trouvent dans ce billet de blog de la Zero Day Initiative.

Celle-ci indique que cette faille, identifiée CVE-2021-33766, lui a été signalée en mars par le chercheur en sécurité Xuan Tuyen et qu’elle a été corrigée dans la mise à jour cumulative d’Exchange de juillet 2021.

La Zero Day Initiative affirme que Microsoft « Exchange Server continue d'être une terre incroyablement fertile pour la recherche de vulnérabilités. Cela peut être dû à l'énorme complexité du produit, à la fois en termes de fonctionnalités et d'architecture ». Une publicité dont, à coup sûr, Microsoft se passerait bien.