Autant que 121 nouvelles failles de sécurité ont été corrigés par Microsoft dans le cadre de ses mises à jour Patch Tuesday pour le mois d’août, qui incluent également un correctif pour une vulnérabilité de l’outil de diagnostic de support qui, selon la société, est activement exploitée dans la nature.

Sur les 121 bogues, 17 sont classés critiques, 102 sont classés importants, un est classé modéré et un est classé faible en gravité. Deux des problèmes ont été répertoriés comme publiquement connus au moment de la publication.

Il convient de noter que les 121 failles de sécurité s’ajoutent à 25 lacunes le géant de la technologie abordé dans son navigateur Edge basé sur Chromium à la fin du mois dernier et la semaine précédente.

En tête de liste des correctifs se trouve CVE-2022-34713 (score CVSS : 7,8), un cas d’exécution de code à distance affectant l’outil de diagnostic de support Microsoft Windows (MSDT), ce qui en fait la deuxième faille du même composant après Follina (CVE-2022-30190) à être militarisée dans attaques du monde réel dans les trois mois.

La vulnérabilité serait également une variante de la faille publiquement connue sous le nom de DogWalk, qui a été initialement divulguée par le chercheur en sécurité Imre Rad en janvier 2020.

« L’exploitation de la vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu », a déclaré Microsoft dans un avis. « Dans un scénario d’attaque par e-mail, un attaquant pourrait exploiter la vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en convainquant l’utilisateur d’ouvrir le fichier. »

Alternativement, un attaquant pourrait héberger un site Web ou exploiter un site déjà compromis qui contient un fichier malveillant conçu pour exploiter la vulnérabilité, puis inciter des cibles potentielles à cliquer sur un lien dans un e-mail ou un message instantané pour ouvrir le document.

« Ce n’est pas un vecteur rare et les documents et liens malveillants sont toujours utilisés par les attaquants avec beaucoup d’efficacité », a déclaré Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs. « Cela souligne la nécessité pour les employés de se perfectionner pour se méfier de telles attaques. »

CVE-2022-34713 est l’une des deux failles d’exécution de code à distance dans MSDT fermées par Redmond ce mois-ci, l’autre étant CVE-2022-35743 (Note CVSS : 7,8). Les chercheurs en sécurité Bill Demirkapi et Matt Graeber ont été crédités d’avoir signalé la vulnérabilité.

Microsoft a également résolu trois failles d’élévation de privilèges dans Exchange Server qui pourraient être utilisées de manière abusive pour lire des e-mails ciblés et télécharger des pièces jointes (CVE-2022-21980, CVE-2022-24477et CVE-2022-24516) et une vulnérabilité de divulgation d’informations publiquement connue (CVE-2022-30134) dans Exchange, ce qui pourrait également avoir le même impact.

« Les administrateurs doivent activer Protection étendue afin de remédier complètement à cette vulnérabilité », a commenté Greg Wiseman, chef de produit chez Rapid7, à propos de CVE-2022-30134.

La mise à jour de sécurité corrige en outre plusieurs failles d’exécution de code à distance dans Windows Point-to-Point Protocol (PPP), Windows Secure Socket Tunneling Protocol (SSTP), Azure RTOS GUIX Studio, Microsoft Office et Windows Hyper-V.

Le correctif Patch Tuesday est également remarquable pour avoir corrigé des dizaines de failles d’escalade de privilèges : 31 dans Azure Site Recovery, un mois après que Microsoft a éliminé 30 bogues similaires dans le service de continuité des activités, cinq dans Storage Spaces Direct, trois dans le noyau Windows et deux dans le Module Spouleur d’impression.

Correctifs logiciels d’autres fournisseurs

Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment –