La vulnérabilité dans Internet Explorer et Microsoft Office permet à un attaquant de prendre le contrôle à distance d’un serveur ou un PC via un document contenant des contrôles Active-X malicieux.
Sur son site web, Microsoft rapporte qu’ils ne pourront pas rendre une patch disponible avant le 14 septembre au minimum. La mesure de contournement temporaire proposée par Microsoft implique la modification de clé de registre pour désactiver l’installation de contrôles Active-X.
Référez-vous au site de Microsoft pour les instructions détaillées : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
Sans la mesure de contournement, Office offre une protection de base consistant à demander à l’utilisateur de permettre l’édition du document en cliquant le bouton « Enable Editing ». Il ne faut en aucun cas donner cette permission.
Il est important de mettre la mesure de contournement en œuvre rapidement pour éviter de devenir une victime des groupes malicieux qui exploitent cette vulnérabilité. Comme toujours, Sémafor Conseil peut vous venir en aide si besoin.