/image%2F2647755%2F20190518%2Fob_d3ba56_giphy-2.gif)
Les détails d’une vulnérabilité Microsoft Windows affectant toutes les versions prises en charge du logiciel d’exploitation ont été révélés par un chercheur en sécurité après que le groupe américain n’ait pas respecté la date limite pour corriger le problème.
La vulnérabilité dite du «zero-day» - une faille logicielle inconnue ou imprévue pouvant être exploitée par des pirates informatiques - a été signalée en privé à la société en mai, accompagnée d’un délai ferme de 120 jours pour le réparer.
Drapeau rouge public après échec de la correction du bogue
Le code exploitable a été découvert par le chercheur Lucas Leong de l’équipe de Trend Micro Security Research via Zero Day Initiative (ZDI), un projet qui encourage et récompense financièrement le signalement des failles de sécurité logicielles aux fournisseurs concernés.
Le groupe américain a réussi à reproduire le bug le 18 mai, mais n’a pas réussi à combler cette lacune dans le délai de quatre mois. Le 9 septembre, il a signalé un problème avec le correctif, disant qu'il pourrait manquer la mise à jour mensuelle de son correctif logiciel le 11 septembre, laissant les observateurs en conclure que cette faille serait désormais laissée ouverte jusqu'au correctif du mois prochain.
Le problème réside dans le moteur de base de données Microsoft JET, permettant à un attaquant d’exécuter à distance du code malveillant sur tout ordinateur Windows vulnérable, toutes les versions de Windows prises en charge étant concernées, notamment :
- Windows 10
- Windows 8.1
- Windows 7
- Windows Server Edition 2008 à 2016
JET, ou Joint Engine Technology, est un moteur de base de données intégré à plusieurs produits Microsoft, notamment Microsoft Access et Visual Basic.
Open Access pour les attaquants
ZDI a noté sur son site Web:
Information: «Cette vulnérabilité permet à des attaquants distants d’exécuter du code arbitraire sur des installations vulnérables de Microsoft Windows. L'interaction de l'utilisateur est nécessaire pour exploiter cette vulnérabilité, car la cible doit visiter une page malveillante ou ouvrir un fichier malveillant.
Information:«Les données créées dans un fichier de base de données peuvent déclencher une écriture après la fin d'un tampon alloué. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus en cours".
Allan Liska, architecte des solutions de sécurité chez Recorded Future, a expliqué la vulnérabilité de SiliconRepublic.com :
Information: «Les versions 64 bits de Microsoft Windows 10 et Windows Server 2016 souffrent toutes deux d’une vulnérabilité d’élévation de privilèges locale qui permettra à un attaquant qui a déjà accès à le système à exécuter n'importe quel code en tant qu'administrateur, ce qui donne à l'attaquant un accès complet au système compromis".
Dans un communiqué adressé à VitalBriefing le 25 septembre, Jeff Jones, directeur principal chez Microsoft, a déclaré:
Information:
«Microsoft a un engagement fort en matière de sécurité et une expérience avérée d’investigation et de mise à jour proactive des périphériques impactés dès que possible.
«Pour nous assurer que nous fournissons des mises à jour de sécurité de haute qualité à nos clients, nous testons de manière approfondie chaque bulletin avant sa publication», a-t-il ajouté. «Notre politique standard consiste à publier des mises à jour de sécurité sur la mise à jour du mardi, le deuxième mardi de chaque mois.»
Privilège d'utilisateur pourrait contrecarrer la surveillance de la protection
La faille a été rendue publique via Twitter à la fin du mois d’août et était liée à une publication sur GitHub qui semblait montrer une preuve de concept pour cette vulnérabilité. Il a ensuite été vérifié par Will Dormann, un analyste de la vulnérabilité au Centre de coordination des équipes d'intervention en cas d'urgence informatique (CERT / CC), une branche du Département américain de la défense.
Compte tenu de la nature de la vulnérabilité, ZDI a indiqué que jusqu’à ce que le problème soit corrigé, la seule stratégie d’atténuation la plus importante consistait à limiter l’interaction avec l’application aux fichiers approuvés.
Liska a toutefois averti que plus de prudence était nécessaire.
Information:
«Si un attaquant obtient un accès avec un privilège de niveau utilisateur (par exemple, via un exploit d'exécution de code à distance du navigateur), cette atténuation ne fonctionnera pas.
«Le meilleur pari jusqu'à ce que Microsoft publie un correctif est de surveiller les activités suspectes du planificateur de tâches (recherchez le processus connhost.exe) et de surveiller ce moniteur PoC spécifique pour spoolsv.exe (le service Print Spooler). gardez à l'esprit que même si le PoC utilise le service Print Spooler, cette vulnérabilité ne se limite pas au seul spouleur d'impression.
Source : Laptopmag
Suivez ce blog : Newsletter, Mail
Suivez-moi sur : Twitter ; Google+ Discord (chat, news..; Reddit
/image%2F2647755%2F20190814%2Fob_ea312c_turn-windows10-xp-7-8-670x335.jpg)
/image%2F2647755%2F20190727%2Fob_7c4114_images.jpeg)
/image%2F2647755%2F20190716%2Fob_d6d023_word-exccel-and-powerpoint-android-use.jpg)
/image%2F2647755%2F20190710%2Fob_77e459_7e669a34b416c175409b4d89e77bba31-media.jpg)
/image%2F2647755%2F20191213%2Fob_7aeb23_virtualbox-6-1-officially-released-wit.jpg)
/image%2F2647755%2F20191213%2Fob_ea3320_chip.png)
/image%2F2647755%2F20191213%2Fob_7c8939_64063315c2c194e4.jpeg)
/image%2F2647755%2F20191202%2Fob_a3a8f1_opensuse-leap-15-0.jpg)
Commenter cet article