DogWalk et plusieurs vulnérabilités dans Exchange | Blog officiel de Kaspersky

0day Business enterprise exchange Microsoft RCE SMB vulnérabilités Windows

Le Patch Tuesday d’août corrige plus d’une centaine de vulnérabilités Microsoft. Certaines requièrent une attention spéciale de la part des professionnels en cybersécurité. Parmi elles, 17 failles sont classées comme critiques, et deux sont de type zero-day. Au moins une vulnérabilité est déjà activement exploitée, donc il vaut mieux ne pas remettre à plus tard l’installation du patch. Ce n’est pas une coïncidence si l’Agence américaine de cybersécurité et de sécurité des infrastructures dit de faire particulièrement attention à cette mise à jour.

DogWalk (alias CVE-2022-34713) — une vulnérabilité d’exécution de code à distance dans MSDT

CVE-2022-34713 est la vulnérabilité la plus dangereuse parmi celles qui viennent d’être corrigées. Cette faille permettrait l’exécution de code à distance puisqu’elle appartient au type RCE. CVE-2022-34713, baptisée DogWalk, est une vulnérabilité dans l’outil de diagnostic de support Microsoft Windows (MSDT), tout comme Follina, qui a fait beaucoup de bruit en mai de cette année.

Le problème vient de la façon dont le système gère les archives Cabinet (.cab). Pour exploiter cette vulnérabilité, un cybercriminel doit tromper l’utilisateur pour que ce dernier ouvre un fichier malveillant qui sauvegarde l’archive .diagcab dans le dossier de démarrage Windows. Ainsi, le contenu sera exécuté la prochaine fois que l’utilisateur allumera son ordinateur et saisira ses identifiants.

En réalité, la faille DogWalk a été découverte il y a deux ans mais les développeurs du système, pour une quelconque raison, n’ont pas pris ce problème au sérieux. La vulnérabilité est corrigée, mais Microsoft avait déjà détecté qu’elle était exploitée.

D’autres vulnérabilités à surveiller

CVE-2022-30134 est la deuxième vulnérabilité zero-day corrigée mardi dernier. Elle se trouve dans Microsoft Exchange. Des informations sur cette faille ont été publiées avant que Microsoft n’ait créé le patch, mais cette vulnérabilité n’a pas encore été exploitée. En théorie, si un cybercriminel arrive à exploiter CVE-2022-30134, il pourra lire les e-mails de la victime. Ce n’est pas la seule faille de Microsoft Exchange que ce patch corrige. Il met également un terme aux vulnérabilités CVE-2022-24516, CVE-2022-21980 et CVE-2022-24477 qui permettent aux cybercriminels d’élever les privilèges.

Quant au score CVSS, deux vulnérabilités associées sont des championnes conditionnelles : CVE-2022-30133 et CVE-2022-35744. Toutes les deux ont été détectées dans le protocole PPP (Point-to-Point). Elles permettent aux cybercriminels d’envoyer des requêtes au serveur d’accès à distance, ce qui peut provoquer l’exécution d’un code malveillant sur le dispositif. Ces deux failles ont le même score CVSS : 9,8.

Si certains utilisateurs ne peuvent pas immédiatement installer les patchs, Microsoft conseille de fermer le port 1723, puisque les vulnérabilités peuvent être exploitées en passant par lui. Pourtant, cela pourrait perturber la stabilité des communications sur le réseau.

Comment vous protéger

Nous vous recommandons d’installer les mises à jour Microsoft dès que possible, et n’oubliez pas de vérifier les renseignements de la section « Forum aux questions, atténuations et solutions de contournement » du guide mis à jour pour trouver ceux qui sont pertinents pour votre entreprise.

De plus, tous les ordinateurs de l’entreprise ayant accès à Internet, qu’il s’agisse d’un poste de travail ou d’un serveur, doivent être équipés d’une solution de cybersécurité de confiance capable de vous protéger contre l’exploitation de vulnérabilités inconnues.