La dernier Patch Tuesday inclut un correctif de DogWalk, une attaque qui s’appuie sur une faille dans le module Windows Support Diagnostic Tool. Et qui a été signalée déjà depuis plus de deux ans et demi…
Microsoft vient de publier, à l’occasion de son traditionnel « Patch Tuesday », une fournée de 121 correctifs de sécurité, dont 17 jugés critiques. Parmi eux figure la faille CVE-2022-34713, également appelée « DogWalk ». Elle se trouve au niveau du module Windows Support Diagnostic Tool (MSDT) et permet d’exécuter du code arbitraire à distance. La faille étant activement utilisée par des pirates, l’installation du patch est vivement recommandée.
L’exploitation peut se faire au travers d’un fichier vérolé avec l’extension .diagcab, envoyé directement par courrier électronique ou disponible en téléchargement sur un site web malveillant. Pour exécuter l’attaque, il faut néanmoins que l’utilisateur ouvre le fichier en question.
La girouette Microsoft
C’est la seconde fois en l’espace de trois mois qu’une faille zero-day exploitée par des pirates est trouvée dans le module MSDT. Mais ce qui est encore plus remarquable, c’est que Microsoft a mis plus de deux ans et demi à colmater « DogWalk ». En effet, celle-ci avait été signalée en décembre 2019 par le chercheur en sécurité Imre Rad. Mais à l’époque, Microsoft avait considéré que ce n’était pas une faille.
« Le problème est que pour utiliser cette attaque, un attaquant doit créer ce qui équivaut à un virus, convaincre un utilisateur de télécharger le virus, puis l’exécuter. Oui, cela ne se termine pas par .exe, mais de nos jours, c’est le cas de la plupart des virus. Certaines protections sont déjà mises en place, comme les extensions de fichiers standards à bloquer, dont celle-ci fait partie. Nous cherchons toujours à améliorer ces protections. Mais tel que c’est décrit, cela ne peut pas être considéré comme une vulnérabilité. Aucune limite de sécurité n’est contournée, la preuve de concept n’augmente en aucune façon les autorisations et ne fait rien que l’utilisateur ne puisse déjà faire », avait expliqué Microsoft en janvier 2020.
Deux ans plus tard, l’éditeur a finalement changé d’avis. « Nous avons réévalué le problème (…) et déterminé que ce problème répond à nos critères de traitement avec une mise à jour de sécurité », pouvait lire Imre Rad dans un e-mail envoyé le 4 août 2022, soit quelques jours avant le Patch Tuesday. Microsoft n’a pas précisé pourquoi il avait changé d’avis, mais visiblement l’éditeur considère qu’il s’agissait d’une mauvaise et regrettable décision. C’est en tous les cas ce que l’on comprend à la lecture d’un tweet de l’ingénieur Jonathan Norman, qui travaille chez Microsoft.
We finally fixed the #DogWalk vulnerably. Sadly this remained an issue for far too long. thanks to everyone who yelled at us to fix it @j00sean @ImreRad
— Johnathan Norman (@spoofyroot) August 9, 2022
Il est probable que Microsoft a été confronté à des scénarios d’exploitation plus graves qu’il ne l’imaginait au départ. Interrogé par The Record, Andrew Barratt, vice-président de Coalfire, une entreprise spécialisée en cybersécurité, estime que DogWalk est un vecteur d’attaque bien adapté à des attaques internes qui, par nature, sont plus difficiles à détecter.
Source :
The Record