Qu’est-ce qui vient juste de se passer? Une nouvelle vulnérabilité puissante a tout ce qu’il faut pour bouleverser la sécurité de Windows sur des millions d’ordinateurs. La faille n’a pas encore de nom officiel et un correctif est déjà disponible, mais les chercheurs avertissent les entreprises d’installer les derniers correctifs ou de faire face aux conséquences.
Le monde de la sécurité se souvient encore (et redoute) le chaos déclenché par EternalBlue en 2017, lorsque la vulnérabilité découverte (et stockée) par la National Security Agency (NSA) a été exploitée par les tristement célèbres attaques WannaCry et NotPetya (parmi beaucoup d’autres) pour frapper le numérique. infrastructures partout dans le monde.
Les chercheurs en sécurité tirent maintenant une nouvelle alarme concernant une autre vulnérabilité puissante en ville, qui pourrait être encore plus dangereuse qu’EternalBlue si elle n’est pas corrigée.
Suivie sous le nom de CVE-2022-37958, la nouvelle faille fonctionne exactement comme EternalBlue et pourrait être exploitée pour exécuter à distance du code malveillant sans authentification requise. Le bogue est également « vermifuge », ce qui signifie qu’il peut s’auto-répliquer pour toucher d’autres systèmes vulnérables. C’est exactement la raison pour laquelle WannaCry et les autres attaques de 2017 ont pu se propager si rapidement.
Contrairement à EternalBlue, cependant, CVE-2022-37958 est encore plus dangereux car il ne se limite pas au protocole Server Message Block (SMB) car il réside dans le SPNEGO Mécanisme de négociation étendu. SPNEGO est utilisé par le logiciel client-serveur pour négocier le choix de la technologie de sécurité à utiliser.
Grâce à SPNEGO, un ordinateur client et un serveur Internet peuvent décider du protocole à utiliser pour l’authentification ; au-delà de SMB, la liste des protocoles concernés comprend RDP, SMTP et HTTP.
Le danger posé par CVE-2022-37958 est atténué par le fait que, contrairement à EternalBlue, la bonne solution est déjà disponible depuis trois mois.
Microsoft a corrigé le bug en septembre 2022 avec son déploiement mensuel Patch Tuesday. À l’époque, les analystes de Redmond ont classé les failles comme « importantes », considérant le problème comme une divulgation potentielle d’informations sensibles et rien de plus. Après avoir examiné le code, ces mêmes analystes ont maintenant attribué une balise « critique » à CVE-2022-37958 et une cote de gravité de 8,1 – la même qu’EternalBlue.
Le fait qu’un patch soit déjà disponible pourrait être un facteur aggravant plutôt qu’un facteur positif.
« Comme nous l’avons vu avec d’autres vulnérabilités majeures au fil des ans » comme MS17-010 exploité avec EternalBlue, a déclaré Valentina Palmiotti, chercheuse en sécurité d’IBM, « certaines organisations tardent à déployer des correctifs depuis plusieurs mois ou manquent d’un inventaire précis des systèmes exposés au Internet et manquent complètement les systèmes de correctifs. »
La menace est toujours là, tapie dans des millions de systèmes Windows à partir de Windows 7.