Microsoft a corrigé 51 failles dans son dernier Patch Tuesday du mois d’août, dont sept classées critiques et trois failles zero-day. On note l’existence de 17 vulnérabilités d'élévation de privilèges (EoP), 13 bugs entraînant l'exécution de code à distance (RCE), huit failles de divulgation d'informations et deux bogues de déni de service (DoS) et quatre sont des vulnérabilités d'usurpation d'identité. Le Patch, plus léger que d’habitude, représente « une réduction de 56% des vulnérabilités globales par rapport à juillet et 33% de brèches en moins en moyenne pour chaque mois jusqu'à présent cette année » d’après Eric Feldman, responsable marketing produit chez Automox, spécialisé dans la sécurité informatique.
Parmi les trois zero day corrigées, seule l’une d’entre elles a été activement exploitée. Découverte par le centre de réponse aux problèmes de sécurité Microsoft (Microsoft Security Response Center, MSRC), la faille CVE-2021-36948 affecte le service Windows Update Medic et concerne l’élévation de privilège. Microsoft ignore pour le moment comment celle-ci a été utilisée dans des attaques. Les deux autres failles divulguées publiquement, mais non exploitées activement, sont les suivantes : CVE-2021-36936 qui consiste en une vulnérabilité d'exécution de code à distance de Windows Print Spooler (aussi appelée PrintNightmare) et CVE-2021-36942 qui concerne l'usurpation d'identité LSA de Windows. Cette dernière est associée au vecteur d'attaque PetitPotam NTLM relay qui permet la maîtrise des contrôleurs de domaine. Parmi les correctifs attendus, Microsoft a publié des patchs pour PetitPotam, SeriousSAM et diverses versions de Print Nightmare.
Des correctifs manquent à l’appel
En réponse à la publication des Patch Tuesday mensuels de Microsoft, Christoph Falta, expert en cybersécurité, avait publié sur GitHub une liste des problèmes de sécurité que l'éditeur n'a pas encore corrigés, ne corrigera pas ou qui nécessitent un ajustement manuel pour être corrigés. Après une mise à jour ce jour-même, il révèle que Microsoft n’a toujours pas colmaté certaines failles critiques telles que SpoolSample – qui abuse d'une fonctionnalité du MS-RPRN (le protocole distant du système d'impression), RemotePotato0 – qui peut forcer l'authentification d'une autre session utilisateur sur la machine de l'attaquant vers une cible contrôlée par l'attaquant, ADCS - ESC8 – qui permet l'authentification NTLM par défaut ainsi que certaines versions de PrintNightmare pouvant être utilisées pour l'exécution de code à distance ainsi que pour l'élévation des privilèges locaux. La liste complète des vulnérabilités résolues et des avis publiés dans les mises à jour du Patch Tuesday d'août 2021 est disponible sur le site du MSRC.