Patch Tuesday de juin : Microsoft corrige la vulnérabilité Follina, mais pas DogWalk

Ce mois-ci, avec la mise à jour Patch Tuesday pour Windows 7, 8.1, 10 et 11, Microsoft a publié un certain nombre d’améliorations et de correctifs de sécurité pour ses systèmes d’exploitation. En parlant de ce dernier, nous avons de bonnes et de mauvaises nouvelles.

Commençons par la bonne nouvelle : Microsoft a corrigé de nombreux problèmes de sécurité, dont Follina. La mauvaise nouvelle est que ses mises à jour ne semblent pas couvrir tous les jours zéro réclamés, car DogWalk n’est pas corrigé.

Les détails de Follina ont fait surface le mois dernier lorsqu’il a été révélé que la gestion bancale des protocoles d’URL par l’outil de diagnostic de support Microsoft (MSDT) signifiait qu’une application appelante telle que Microsoft Word pouvait l’appeler pour lancer l’exécution de code à distance (RCE), éventuellement avec des droits d’administrateur. .

Ce problème a affecté presque toutes les versions de Windows, c’est pourquoi Microsoft lui a attribué un niveau de gravité « élevé » et a recommandé certaines étapes pour le résoudre. Cependant, les mises à jour du mardi juin publiées hier offrent une solution plus permanente à ce problème. Dans leur rapport de suivi respectif CVE-2022-30190 , Microsoft a noté que :

La mise à jour de cette vulnérabilité se trouve dans la mise à jour cumulative Windows de juin 2022. Microsoft recommande vivement aux clients d’installer les mises à jour pour se protéger complètement contre la vulnérabilité. Les clients dont les systèmes sont configurés pour recevoir des mises à jour automatiques n’ont pas besoin de prendre d’autres mesures.

Pendant ce temps, DogWalk est une autre vulnérabilité zero-day qui a été largement signalée la semaine dernière. Fondamentalement, il exploite une vulnérabilité de traversée de chemin qui place la charge utile dans le dossier de démarrage de Windows. Cela signifie que le logiciel malveillant est lancé la prochaine fois que l’utilisateur se connecte à son système. Le fichier diagcab téléchargé est marqué Internet (MOTW), mais MSDT ignore l’avertissement et l’exécute quand même, laissant les utilisateurs vulnérables à cette vulnérabilité potentielle.

Alors que certaines sociétés de sécurité tierces ont publié des micropatchs pour DogWalk, Microsoft a minimisé le problème et affirme qu’il ne nécessite pas de « service immédiat ». Il n’a pas non plus reçu de CVE.

Et si vous vous demandez si la dernière mise à jour de mardi résoudra le problème, vous vous trompez. Selon des chercheurs en sécurité sur Twitter, DogWalk est toujours ouvert à l’utilisation :

Il reste à voir si Microsoft finira par résoudre le problème dans un proche avenir, mais sur la base des dernières mises à jour sur le sujet, les chances ne semblent pas bonnes. Nous vous informerons si la situation évolue à l’avenir.