Tech

Le bogue Zero-day, corrigé en juin, continue d’affecter Windows

Par Julian, le décembre 24, 2020 - google, microsoft, windows, windows 10
Le bogue Zero-day, corrigé en juin, continue d'affecter Windows

Mai dernier, Google Project Zero signalé une faille de sécurité, CVE-2020-0986, dans Windows qui pourrait être utilisé pour obtenir des privilèges dans un système. Ce bogue était utilisé avec un autre, présent dans Internet Explorer, pour exécuter du code à distance. Grâce à l’échec de Windows, un attaquant pourrait obtenir les autorisations SYSTEM, le plus haut niveau de Windows, ayant un contrôle absolu sur le système.

Les pirates ont exploité cette faille sur le réseau grâce à un exploit public circulant dans les forums et les sites Web. Microsoft, dès qu’il a été alerté de l’échec, a publié un correctif de sécurité avec lequel protéger ses utilisateurs. Cependant, cela n’a pas été suffisant.

Le patch a seulement bloqué l’exploit; le défaut est toujours ouvert

Depuis relativement peu de temps, les pirates l’utilisent à nouveau pour obtenir des privilèges à l’intérieur du PC et pour mener d’autres attaques. Comment est-ce possible, si en théorie cela avait été résolu?

Microsoft n’a pas corrigé la vulnérabilité comme il se doit, mais simplement pointeurs de mémoire modifiés par d’autres, laissant l’exploit inutile. Mais la décision était toujours ouverte. Une immense irresponsabilité de la part de l’entreprise.

Cette « nouvelle » faille de sécurité est désormais accompagnée du code CVE-2020-17008. Les informations de l’échec sont accompagnées d’un nouveau PoC, basé sur celui de Kaspersky, avec les instructions nécessaires pour le faire fonctionner dans n’importe quelle version de Windows 10. Et bien qu’il ne soit pas clair s’il a été utilisé pendant tout ce temps pour mener des attaques informatiques , il est prouvé que c’est le cas.

Comment protéger Windows

Microsoft est conscient de cette nouvelle faille de sécurité depuis septembre dernier. La société avait prévu de le faire réparer avec les correctifs de sécurité de novembre, mais une série de bugs de dernière minute a contraint l’entreprise à retarder la sortie de ces patchs. Et avec les correctifs de décembre, la correction n’est pas venue non plus.

Comme toujours, le délai de grâce de 90 jours offert par les chercheurs en sécurité a expiré et la nouvelle faille est apparue. Le problème est que, au moins, jusqu’en janvier de l’année prochaine, il ne sera pas résolu. Et nous ne savons pas si Microsoft corrigera le bogue cette fois ou modifie simplement à nouveau les pointeurs de mémoire.

Si nous voulons nous protéger de ce problème de sécurité, la seule chose que nous pouvons faire est précautions extrêmes. Il est nécessaire d’éviter de visiter des sites Web peu fiables et d’exécuter des fichiers qui ne sont pas fiables à 100% que nous téléchargeons sur Internet. Et bien sûr, dès que le correctif de sécurité de janvier est disponible, installez-le.

Julian

Julian

Je suis correspondant principal chez WebVZ; le site hebdomadaire consacré à l'avenir des médias, la technologie, la culture (série, film, musique) et jeux-vidéo. J'anime parfois (en plus de mes articles), une série de d'interviews percutantes avec les principaux acteurs de l'industrie des médias et de la technologie.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.