Alors que Microsoft confirme qu’une vulnérabilité zero-day divulguée et non corrigée par Google est actuellement ciblée par des attaquants, voici ce que vous devez savoir.
Les utilisateurs de Windows, de 7 à 10, ont été avertis d’un exploit zero-day actuellement dans la nature
Images SOPA / LightRocket via Getty Images
Microsoft a confirmé qu’une vulnérabilité «zero-day» non corrigée dans le système d’exploitation Windows, affectant chaque version de Windows 7 à Windows 10, est activement ciblée. Microsoft a d’abord été informé de la vulnérabilité par l’équipe Project Zero de Google, une unité dédiée composée de principaux chasseurs de vulnérabilités, qui traque ces soi-disant bogues de sécurité zero-day. Parce que Project Zero avait identifié que le problème de sécurité était activement exploité dans la nature par des attaquants, il a donné à Microsoft un délai de sept jours seulement pour le résoudre avant sa divulgation. Microsoft n’a pas réussi à publier un correctif de sécurité dans ce délai extrêmement restrictif, et Google est allé de l’avant et a publié les détails de la vulnérabilité zero-day, qui est suivie comme CVE-2020-17087.
Le bogue lui-même se trouve dans le pilote de cryptographie du noyau Windows, connu sous le nom de cng.sys, et pourrait permettre à un attaquant d’élever les privilèges dont il dispose lors de l’accès à une machine Windows. Le détail technique complet peut être trouvé dans la divulgation Google Project Zero, mais un peu plus simplement, il s’agit d’un problème de dépassement de la mémoire tampon qui pourrait donner à un attaquant le contrôle au niveau administrateur de l’ordinateur Windows ciblé.
Bien que les attaquants soient connus pour cibler activement les systèmes Windows en ce moment, cela ne signifie pas que votre système est en panne. Tout d’abord, je dois souligner que, selon une confirmation D’après Shane Huntley, directeur du groupe d’analyse des menaces de Google, les attaquants repérés en train d’exploiter la vulnérabilité ne ciblent aucun système lié aux élections américaines à ce stade. C’est une bonne nouvelle, et il y a plus.
Bien que Microsoft ait confirmé que l’attaque signalée était réelle, cela suggère également qu’elle est limitée dans sa portée. Ce n’est pas, du moins pour l’instant, un exploit à grande échelle. Microsoft affirme n’avoir aucune preuve d’exploits généralisés.
Ensuite, il y a l’attaque elle-même qui nécessite que deux vulnérabilités soient enchaînées pour qu’un exploit réussi se produise. L’un d’eux a déjà été patché. Il s’agissait d’une vulnérabilité basée sur le navigateur, CVE-2020-15999, dans les navigateurs Chrome, y compris Microsoft Edge. Tant que votre navigateur est à jour, vous êtes protégé. Microsoft Edge était mis à jour le 22 octobre alors que Google Chrome était mis à jour le 20 octobre.
Il n’y a pas d’autres chaînes d’attaque connues pour la vulnérabilité Windows à ce stade. Ce qui ne signifie pas que votre machine est sûre à 100%, car un attaquant ayant accès à un système déjà compromis pourrait toujours l’exploiter. Cependant, cela signifie qu’il n’est pas nécessaire d’appuyer sur le bouton de panique, à vrai dire. Microsoft a également confirmé que la vulnérabilité ne pouvait pas être exploitée pour affecter la fonctionnalité cryptographique.
J’ai contacté Microsoft et un porte-parole m’a dit que «Microsoft s’est engagé à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils concernés pour protéger les clients».
En ce qui concerne ce délai de divulgation de sept jours de la part de l’équipe Google Project Zero, le porte-parole de Microsoft a déclaré que «si nous nous efforçons de respecter les délais de divulgation de tous les chercheurs, y compris les délais à court terme comme dans ce scénario, l’élaboration d’une mise à jour de sécurité est un équilibre entre la rapidité et la qualité, et notre objectif ultime est de contribuer à assurer une protection maximale des clients avec une perturbation minimale des clients. «
Bien que Microsoft n’ait pas commenté le moment probable d’un correctif de sécurité pour empêcher l’exploitation de cette vulnérabilité Windows, le responsable technique de Project Zero, Ben Hawkes, a tweeté qu’il était prévu dans le cadre des mises à jour du Patch Tuesday le 10 novembre.
Quelle est la menace pour votre utilisateur Windows moyen? Cela reste à voir, mais actuellement, je le classerais comme une situation de prise de conscience, mais pas de panique. Hang-fire, assurez-vous que vos navigateurs Web sont à jour, et tout devrait bien se passer. Il y a des risques beaucoup plus importants pour vos données que cette attaque zero-day, à mon avis jamais humble. Risques tels que le phishing sous toutes ses formes, la réutilisation des mots de passe, le manque d’authentification à deux facteurs et les logiciels qui ne sont pas tenus à jour avec les correctifs de sécurité.
.
