Mettez à jour Google Chrome maintenant, avertissez à la fois Google et le Département de la sécurité intérieure, car les pirates informatiques ont déjà un code d’exploitation d’attaque pour une vulnérabilité de haute gravité et zero-day.

Google a confirmé qu’il était au courant des rapports selon lesquels un exploit du navigateur Chrome zero-day existe dans la nature. L’agence de cybersécurité du Département de la sécurité intérieure, CISA, a a conseillé aux utilisateurs de mettre à jour maintenant.

Une vulnérabilité zero-day reste un événement relativement rare en termes de cybersécurité et, en tant que telle, est à la fois une chose précieuse et dangereuse entre les mains des acteurs de la menace. Le terme fait référence à une vulnérabilité qui est activement exploitée par des pirates avant qu’elle ne soit découverte par le fournisseur du produit ou par la communauté du renseignement sur les menaces. Ce n’est qu’au point de découverte, jour zéro, que les efforts d’atténuation peuvent commencer. Cela laisse la fenêtre de menace grande ouverte, souvent pendant des semaines ou des mois, aux attaquants avec cette longueur d’avance. Chrome a été soumis à plus de quelques jours zéro au cours des derniers mois, il faut le dire, mais quelle est la gravité de cette dernière menace?

Quelle est la gravité de la menace zero-day CVE-2021-21148?

Dans le cas de CVE-2021-21148 peu de choses sont connues du public à ce stade. Ce n’est pas inhabituel, car les fournisseurs et les chercheurs en sécurité travailleront ensemble pour garantir que la divulgation complète ne sera pas faite tant que la majorité des utilisateurs n’auront pas eu la possibilité de mettre à niveau et de corriger la vulnérabilité. Ce que l’on sait, c’est que il s’agit d’une vulnérabilité de grande gravité dans le moteur WebAssembly et JavaScript de Google Chrome, V8. Décrit comme étant un problème de dépassement de la mémoire tampon du tas, cela indique une menace d’exécution de code arbitraire potentiel par une personne attaquant un ordinateur exécutant une version non corrigée du navigateur.

«Il est difficile de surestimer à quel point les vulnérabilités dévastatrices qui peuvent être exploitées sans aucune interaction de la part de l’utilisateur final, au-delà du chargement d’une page, peuvent être», déclare Mitch Mellard, analyste du renseignement sur les menaces chez SY4 Security. « Il y avait un certain optimisme au sein de la communauté Netsec: avec le retrait forcé d’Adobe Flash, les exploits qui pourraient être déclenchés en visitant simplement un point final deviendraient de moins en moins nombreux. Pourtant, on a l’impression que la saleté au sommet de la tombe Flash est encore fraîche nous observons des vulnérabilités de navigateur qui évoquent des souvenirs de kits d’exploit à leur apogée. « 

Bien que Google a confirmé que les exploits sont déjà connus pour exister dans la nature, il n’y a eu aucune confirmation de ces attaques ou, en fait, des attaquants avec ce code d’exploitation. Ce qui a conduit à quelques spéculations que cela pourrait être lié au mois de janvier avertissements de Microsoft et Google contre les acteurs de la menace nord-coréenne en utilisant un Chrome zero-day dans une campagne de piratage active destinée aux chercheurs en sécurité.

J’ai contacté Google pour plus d’informations concernant à la fois la vulnérabilité elle-même et l’exploitation active qu’elle a signalée.

Les conseils d’atténuation sont simples: mettez à jour maintenant

L’agence de cybersécurité de Homeland Security affirme qu’elle encourage les utilisateurs et les administrateurs à appliquer les mises à jour nécessaires dès que possible. Ces mises à jour, pour les versions Windows, Mac et Linux du navigateur Chrome, et les navigateurs tels que Edge qui sont construits avec la même plate-forme Chromium, seront déployées « au cours des prochains jours et semaines », selon Google. La version corrigée de Chrome à rechercher est 88.0.4324.

La mise à jour automatique garantit que Chrome est mis à jour vers la dernière version une fois le navigateur redémarré. Bien sûr, tout le monde n’aura pas les mises à jour automatiques activées, et tous ceux qui le feront ne redémarreront pas Chrome régulièrement. Pour vous assurer que vous êtes protégé contre cette menace, sélectionnez « À propos de Google Chrome » dans le menu à trois points qui lancera le processus de mise à jour. N’oubliez pas de redémarrer le navigateur ou la mise à jour n’aura pas été appliquée.

Ma copie d’Edge a également déjà la petite flèche de mise à jour située dans le menu à trois points, ce qui signifie que la mise à jour vers la version 88.0.705.62 est prête à être installée. Cliquez sur cette flèche et l’élément de menu supérieur sera mis à jour maintenant. Je vous suggère fortement de faire exactement cela. Comme Chrome lui-même, la mise à jour ne sera appliquée qu’une fois que vous redémarrerez votre navigateur.

«Cette vulnérabilité zero-day souligne à nouveau l’importance d’avoir un programme de sécurité complet à l’échelle de l’entreprise intégrant des personnes, des processus et des contrôles techniques», déclare Niamh Muldoon, responsable mondial de la protection des données chez OneLogin. « Les RSSI devraient parler à leurs équipes dirigeantes de l’état de sécurité de leur environnement technologique qui fournit leurs produits et services clés et fournir l’assurance que les risques d’exploitation associés à ces vulnérabilités identifiées sont corrigés. »

Cela signifie-t-il que vous devriez vous éloigner de Google Chrome?

Le consensus de l’opinion en matière de sécurité semble être, à juste titre à mon avis, non.

«Nous voyons souvent zéro jour trouvé dans certains produits technologiques. Très souvent, ce n’est pas le résultat de l’insécurité soudaine du produit», explique Javvad Malik, défenseur de la sensibilisation à la sécurité chez KnowBe4, mais c’est plutôt parce qu’un chercheur ou un groupe de chercheurs a passé un certain temps à plonger profondément dans le fonctionnement interne d’un produit ou d’un outil particulier. « Malik explique que » nous voyons le même modèle se répéter au fil du temps, que ce soit parce que certains produits obtiennent une plus grande publicité ou lorsque l’on y met davantage l’accent sur une perspective d’attaque. « 

« Selon CVE Details, depuis 2016-2017, Google Chrome a été soumis à un nombre croissant de nouvelles vulnérabilités liées à la fois à l’exécution de code et à l’obtention d’informations », déclare David Kennefick, architecte produit chez Edgescan, « Je dirais que c’est liée à la valeur des données auxquelles un attaquant pourrait accéder, donc plus d’efforts sont déployés pour découvrir des vulnérabilités qui pourraient mieux permettre l’exfiltration des données. « 

« Tout comme Internet Explorer avant lui, Google Chrome détient plus de 60% de part de marché et, par conséquent, il est une cible idéale pour ceux qui recherchent des vulnérabilités de sécurité », souligne Stephen Kapp, directeur de la technologie chez Cortex Insight. « Les vulnérabilités dans les logiciels ne sont qu’une partie du cours et lorsque quelque chose est aussi largement utilisé que Google Chrome, un examen plus approfondi est justifié et cela ne fait qu’améliorer le logiciel avec le temps. »