Microsoft a publié un correctif de sécurité pour
remédier à une grave vulnérabilité du système d’exploitation Windows qui, en
cas d’abus, pourrait permettre aux attaquants de faire apparaître des logiciels
malveillants comme s’il s’agissait d’un code provenant d’une source légitime.
La vulnérabilité, qui est corrigée dans le cadre du
déploiement de Patch Tuesday de ce mois-ci, affecte un composant
cryptographique clé de Windows 10, Windows Server 2019 et Windows Server 2016.
La faille a été découverte par l’Agence de Sécurité Nationale (NSA) des
Etats-Unis, qui, pour la première fois, est maintenant officiellement créditée
de la découverte d’une vulnérabilité logicielle.
Indexé sous le numéro CVE-2020-0601,
le bogue réside « dans la manière dont Windows CryptoAPI (Crypt32.dll)
valide les certificats de cryptographie sur courbe elliptique (ECC) »,
souligne l’avis de sécurité de
Microsoft. Le module Crypt32.dll est
responsable de nombreuses fonctions de certificat et de messagerie
cryptographique dans la CryptoAPI.
« Un attaquant pourrait exploiter la
vulnérabilité en utilisant un certificat de signature de code usurpé pour
signer un exécutable malveillant, faisant croire que le fichier provient d’une
source fiable et légitime », a déclaré Microsoft.
En d’autres mots, un acteur de la menace pourrait
amener les victimes à installer un logiciel malveillant en le faisant passer,
par exemple, pour une mise à jour logicielle légitime, y compris de la part de
Microsoft elle-même, alors que les cibles n’en seraient pas plus avisées.
« L’utilisateur n’aurait aucun moyen de savoir
que le fichier est malveillant, car la signature numérique semblerait provenir
d’un fournisseur de confiance », explique le géant de la technologie.
« Un exploit réussi pourrait également
permettre à l’attaquant de mener des attaques de type « man-in-the-middle »
et de déchiffrer des informations confidentielles sur les connexions de
l’utilisateur au logiciel concerné », poursuit l’entreprise.
« Sévère et généralisée »
Quelques heures avant l’annonce officielle, des
rumeurs ont commencé à circuler selon lesquelles ce ne serait pas un lancement
typique de Patch Tuesday. En effet, la nervosité s’est emparée de plusieurs
membres de la communauté de la sécurité, après que l’ex-journaliste en
cybersécurité Brian Krebs ait révélé l’ampleur du problème :
« Une vulnérabilité de sécurité
extraordinairement sérieuse », décrivait Krebs lundi soir.
Le gouvernement américain, l’armée et plusieurs entreprises très en vue auraient
reçu un préavis et des correctifs pour corriger la faille.
La gravité de la situation a finalement suscité une
série de communications officielles de la part des autorités américaines. Il
s’agissait notamment d’une alerte de la Cybersecurity and Infrastructure
Security Agency (CISA), d’une directive d’urgence en
provenance du Department of Homeland Security (DHS) demandant un correctif
accéléré pour toutes les entités fédérales, et d’un avis provenant
directement de la NSA.
« Les conséquences de l’absence de correctifs
sont graves et étendues. Les outils d’exploitation à distance seront probablement
mis à disposition rapidement et à grande échelle. L’adoption rapide du
correctif est la seule atténuation connue à l’heure actuelle et devrait être le
principal objectif de tous les propriétaires de réseaux », déclare
l’agence de renseignement. Ni la NSA ni Microsoft n’ont eu vent d’une utilisation de cette
vulnérabilité dans la nature (in the wild).
Windows 7, dont la fin de vie
officielle a eu lieu ce lundi, Windows 8 et d’autres
systèmes Windows ne sont pas affectés par la vulnérabilité.
Le pack Patch Tuesday de ce mois-ci contient des
correctifs pour un total de 49 vulnérabilités, qui sont quasiment résumées
dans ce tableau du
SANS Technology Institute. Deux failles critiques de la passerelle pour bureau
distant Windows (RD Gateway), CVE-2020-0609 et CVE-2020-0610,
se distinguent, car elles permettent à des attaquants distants non authentifiés
d’exécuter du code arbitraire sur le système ciblé.