Pas de trêve estivale pour les administrateurs systèmes avec la dernière livraison des correctifs de sécurité de Microsoft. La version aoûtienne du Patch Tuesday bat des records avec pas moins de 121 failles corrigées (seul le mois d'avril avait atteint 117 vulnérabilités réparées). Les composants et solutions touchés sont variés : Windows, .NET Core, Office, Edge, Azure, Exchange Server, Hyper-V Server, Visual Studio, Kernel, Defender ou encore Secure Socket Tunneling Protocol. Parmi elles, on note deux failles zero day et pas moins de 17 failles sont classées comme critiques car elles peuvent générer une exécution de code à distance ou une élévation de privilèges. Voici comment sont réparties les vulnérabilités : 64 vulnérabilités d'élévation de privilèges (dont 5 critiques), 31 vulnérabilités d'exécution de code à distance (dont 12 critiques), 12 entraînant de divulgation d'informations, 7 provoquant de déni de service, 6 aboutissent à un contournement des fonctions de sécurité et 1 engendre une usurpation d'identité.
Quelques jours plus tôt, le 5 août, Microsoft a publié 20 mises à jour du navigateur Edge (basé sur Chromium) portant sur l'élévation de privilège, l'exécution de code à distance et le contournement des fonctions de sécurité, avec des degrés de gravité respectifs de faible, modéré et important. Les chiffres ci-dessus n'incluent donc pas ces 20 vulnérabilités. A noter que l’ensemble des correctifs impacte les versions clientes suivantes de Windows : Windows 7, 10 version 20H2, 21H1 et 21H2, Windows 11.
Deux failles de type zero day corrigées
L’une des failles zero day a été activement exploitée dans les attaques. Connue sous le nom de « DogWalk », elle est répertoriée par la firme de Redmond sous le nom de « CVE-2022-34713 - Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability » et notée 7,8. Pour rappel, MSDT est un service intégré à Windows. En juin dernier, lors du dernier Patch Tuesday, Microsoft avait corrigé une autre brèche dans MSDT également « utilisée dans des attaques actives pendant au moins les trois derniers mois » précise Brian Krebs sur son blog Krebson Security.
La faille de ce mois-ci nécessite de convaincre une cible d'ouvrir un fichier piégé, tel qu'un document Office. La faille DogWalk a été découverte par le chercheur en sécurité Imre Rad en janvier 2020, mais la firme américaine n'était pas intervenue suspectant la découverte de ne pas être un incident de sécurité. Toutefois, après la découverte de la vulnérabilité MSDT d’Office, les chercheurs en sécurité ont à nouveau fait pression pour que la vulnérabilité DogWalk soit également corrigée, ce qui est aujourd’hui chose faite.
L'autre zero day est connue sous le nom de « CVE-2022-30134 - Microsoft Exchange Information Disclosure Vulnerability ». La firme de Redmond indique que cette CVE – classée 6,7 – est publiquement divulguée mais n'a pas été détectée dans des attaques. Elle nécessite qu'un utilisateur disposant d'une version affectée d'Exchange Server accède à un serveur malveillant. Nos confrères de Bleeping Computer ajoutent que l’attaquant doit héberger un serveur de partage ou un site web spécialement conçu, et n'a aucun moyen de forcer les utilisateurs à visiter ce partage de serveur ou ce site, mais il doit les convaincre de le faire, généralement par le biais d'une incitation dans un courriel ou un message de discussion.