Patch Tuesday: plus de 120 failles corrigées, dont une activement exploitée

Violence

Le Patch Tuesday de ce mois-ci est anormalement chargé pour un mois d’août, avec 141 correctifs dont deux concernent des failles zero-day.

Microsoft a publié son traditionnel Patch Tuesday cette semaine. Ce mois-ci, la mise à jour de sécurité corrige 141 failles parmi lesquelles deux zero-day, dont une est activement exploitée.

Le Patch Tuesday d’août 2022 comprend en réalité 20 correctifs pour des vulnérabilités du navigateur Edge que Microsoft avait déjà corrigées. Ce qui laisse 121 failles de sécurité affectant Windows, Office, Azure, .NET Core, Visual Studio et Exchange Server.

Un Patch Tuesday estival chargé

Zero Day Initiative note que le volume des correctifs publiés ce mois-ci est « nettement plus élevé » que ce qui est normalement attendu au mois d’août. « C’est presque le triple [du Patch Tuesday] du mois d’août de l’année dernière, et c’est le deuxième patch le plus important de cette année », indique l’organisation.

Le Patch Tuesday d’août 2022 corrige 17 vulnérabilités critiques et 102 importantes. Les correctifs portent sur 64 failles d’élévation de privilèges et 32 failles d’exécution de code à distance, ainsi que sur des contournements de fonctions de sécurité et des failles de divulgation d’informations. En outre, 34 des correctifs de ce mois-ci concernent des bugs dans Azure Site Recovery, l’ensemble d’outils de reprise après sinistre de Microsoft pour le cloud.

La faille de sécurité activement exploitée est une faille d’exécution de code à distance affectant l’outil de diagnostic Microsoft Windows Support (MSDT), répertorié sous le nom de CVE-2022-34713. Selon Microsoft, elle est liée à une vulnérabilité que certains chercheurs en sécurité appellent

.

Dogwalk

Les chercheurs Imre Rad (@ImreRad) et @j00sean ont signalé le bug Dogwalk à Microsoft au début de l’année 2020, mais l’entreprise ne l’a pas abordé avant le mois de mai de cette année, lorsque des attaquants ont commencé à exploiter MSDT via des documents Word malveillants. A ce moment-là, Microsoft a publié l’identifiant CVE-2022-30190 avec des mesures d’atténuation, suivi d’un correctif à la mi-juin et de nouvelles mesures de défense en profondeur en juillet.

« Nous avons enfin corrigé la vulnérabilité #DogWalk. Merci à tous ceux qui nous ont crié de la corriger @j00sean @ImreRad »,

Microsoft affirme que la faille CVE-2022-34713 a été découverte après que des discussions publiques ont suscité un examen plus approfondi au sein et en dehors de Microsoft. « En mai, Microsoft a publié un article de blog donnant des conseils sur une vulnérabilité dans MSDT, et des mises à jour pour y remédier peu de temps après. La discussion publique d’une vulnérabilité peut encourager un examen plus approfondi du composant, tant par le personnel de sécurité de Microsoft que par nos partenaires de recherche. Cette CVE est une variante de la vulnérabilité connue publiquement sous le nom de Dogwalk », fait valoir Microsoft. La faille a un score de base CVSSv3 de 7,8 car les victimes doivent être amenées à ouvrir un fichier malveillant.

Google a également corrigé un problème de gravité moyenne lié au bug Dogwalk (CVE-2022-2622) dans Chrome le mois dernier. Ce problème affectait le service de sécurité Safe Browsing de Google dans Chrome.

De nouvelles failles sur les serveurs Exchange

Une faille de divulgation d’informations dans Exchange Server a été divulguée publiquement avant mardi, mais n’a pas encore été exploitée. Les serveurs Exchange sur site vulnérables étaient l’un des systèmes les plus ciblés en 2021 par les failles ProxyShell et ProxyLogon.

Rapid 7 souligne que la correction de la faille du serveur Exchange (CVE-2022-30134) n’empêchera pas les attaquants de lire les messages électroniques ciblés. Les administrateurs doivent également activer la protection étendue de Windows sur les serveurs Exchange. L’équipe Exchange de Microsoft a expliqué comment le faire manuellement dans un billet de blog séparé. Il existe des correctifs pour cinq autres bugs d’Exchange qui doivent être appliqués pour remédier complètement à ce problème.

La société recommande également d’appliquer le correctif CVE-2022-34715, une faille d’exécution de code à distance affectant la version 4.1 de Windows Network File System (NFS) sur Windows Server 2022. Elle a un score CVSSv3 de 9.8. Une faille notable, CVE-2022-35797, est un contournement du mécanisme d’authentification biométrique Windows Hello de Microsoft. Un attaquant aurait besoin d’un accès physique pour exploiter la vulnérabilité, mais pourrait contourner Windows Hello s’il y parvient.

Windows 7 c’est vraiment fini

La société de sécurité Ivanti rappelle qu’à partir de la mise à jour Patch Tuesday d’août, il ne reste plus que six mois de mises à jour de sécurité étendues (ESU) pour Windows 7 et Windows Server 2008/2008R2. En juillet, Microsoft a signalé la fin de la prise en charge des trois années supplémentaires d’ESU de Windows 7 après sa fin de vie en 2020.

De même, à partir de ce mois-ci, Microsoft ne fournira plus de mises à jour pour le canal semestriel (SAC) de Windows Server. Windows Server 20H2 a atteint la fin de son support le 9 août et est la dernière des versions SAC.

---

SOURCE

Raccoon

2008 R2 j’ai encore plusieurs serveurs qui tournent dessus et il n’est pas prévu d’investir tout de suite pour les changer. Cela dit il y a 3 ans j’ai décommissionné 3 machines qui tournaient sous Windows 2000 Pro.

Violence

@raccoon a dit dans Patch Tuesday: plus de 120 failles corrigées, dont une activement exploitée :

2008 R2 j’ai encore plusieurs serveurs qui tournent dessus et il n’est pas prévu d’investir tout de suite pour les changer. Cela dit il y a 3 ans j’ai décommissionné 3 machines qui tournaient sous Windows 2000 Pro.

Les décisionnaires vont devoir se poser de sérieuses questions…
La ville où je bosse s’en mord les doigts plus d’un an après le hack…

Pour ce qui des autres vieux serveurs, tu as très bien fait

Raccoon

@violence le problème c’est qu’il y a dessus des applicatifs qui coûtent plusieurs dizaines de milliers d’euros. Donc comme d’hab’ les financiers repoussent au max les dépenses.