Dans le cadre de son Patch Tuesday (ou Update Tuesday) pour ce mois d’août, Microsoft corrige une vulnérabilité de sécurité CVE-2022-34713. Avant la disponibilité d’un correctif idoine, elle a fait l’objet d’une divulgation publique et d’une exploitation active dans des attaques.
Cette vulnérabilité de type exécution de code arbitraire affecte Microsoft Windows Support Diagnostic Tool (MSDT ; Msdt.exe) qui est utilisé en tant qu’outil de dépannage pour des bugs dans Windows. Ce n’est du reste pas la première fois cette année qu’un bug touchant MSDT est exploité dans la nature.
Il y a déjà eu le cas de la vulnérabilité CVE-2022-30190 alias Follina avec une exécution de code quand MSDT est appelé à l’aide du protocole URL à partir d’une application comme Word. La vulnérabilité CVE-2022-34713 a récemment fait parler d’elle en tant que DogWalk, mais sa découverte initiale remonte en janvier 2020 avec le chercheur en sécurité Imre Rad crédité par Microsoft.
Microsoft poussé à la correction
Il y a plus de deux ans, Microsoft n’avait pas jugé bon de combler la faille. Toutefois, le contexte de l’exploitation de Follina a changé la donne avec un nouvel intérêt pour l’exploitation de vulnérabilités en rapport avec MSDT, comme donc DogWalk.
D’après Microsoft, la vulnérabilité CVE-2022-34713 est plus exactement une variante de la vulnérabilité DogWalk. Via cette dernière et une attaque dite path traversal dans MSDT, un fichier exécutable malveillant peut être caché dans le dossier de démarrage de Windows quand une cible ouvre un fichier d’archive .diagcab (Microsoft Diagnostics Cabinet) spécialement conçu. Une exécution automatique se produit au prochain redémarrage.
Le Patch Tuesday d’août de Microsoft corrige en tout 121 vulnérabilités de sécurité, dont 17 critiques. La vulnérabilité CVE-2022-34713 n’est cependant pas jugée critique. Peut-être en raison du degré d’interaction de l’utilisateur qu’elle nécessite et d’une attaque elle-même réalisée en local, même si l’attaquant est distant.