Microsoft colmate une brèche « zero day » connue depuis plus de deux ans

Microsoft a mis en ligne la semaine dernière un Patch Tuesday dont le téléchargement et l’installation sont très recommandés et pour cause : ce patch corrige une faille « zero day » exploitée par des pirates. Pourtant, Microsoft aurait pu s’en occuper bien avant…

Parmi les 121 correctifs fournis par Microsoft dans son dernier Patch Tuesday, un en particulier retient l’attention. La livraison bouche en effet la vulnérabilité CVE-2022-34713, connue sous le nom « DogWalk » depuis deux ans et demi ! En décembre 2019, le chercheur Imre Rad prévenait l’éditeur de la présence de cette brèche, mais à l’époque ce dernier n’a pas voulu réagir.

Pas une faille sérieuse, selon Microsoft
Microsoft a en effet expliqué que l’exploitation de la faille nécessitait une action spécifique de l’utilisateur : il faut en effet le forcer à télécharger et à exécuter le fichier. « Tel que c’est décrit, cela ne peut pas être considéré comme une vulnérabilité. Aucune limite de sécurité n’est contournée, la preuve de concept n’augmente en aucune façon les autorisations et ne fait rien que l’utilisateur ne puisse déjà faire », avait répondu l’entreprise début 2020.

Que s’est-il passé entretemps pour que Microsoft revienne sur sa décision ? Difficile de le dire, mais il est possible que des tentatives d’exploitation de cette vulnérabilité aient finalement poussé l’éditeur à revoir sa position. Et à se mettre au travail en développant un correctif…

« DogWalk » permet d’exécuter du code arbitraire à distance via une attaque dans le module Windows Support Diagnostic Tool (MSDT). L’opération nécessite cependant que la victime télécharge un fichier, puis l’ouvre. Ce fameux module MSDT est une cible de prédilection pour les hackers, puisque c’est la deuxième fois en trois mois qu’une brèche « zero day » y est découverte.

Le retard pris par Microsoft pour colmater la faille, et l’inertie avec laquelle l’entreprise s’est occupée du problème devraient la pousser à plus de prudence à l’avenir.

01met

You may like