Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

« Patch Tuesday et Windows » : Microsoft va apporter des correctifs pour colmater une faille majeure

janvier 2020 par Venafi

Microsoft va proposer à l’occasion du premier Patch Tuesday de 2020 de nombreux correctifs dont un patch pour colmater une faille majeure. La vulnérabilité en question réside dans un composant Windows connu sous le nom de crypt32.dll, un module Windows qui, selon Microsoft, gère " les fonctions de certificat et de messagerie cryptographique dans le CryptoAPI ".

Selon Microsoft, " un attaquant pourrait exploiter la vulnérabilité en utilisant un certificat de signature de code usurpé pour signer un exécutable malveillant, faisant croire que le fichier provient d’une source fiable et légitime ". L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semblerait provenir d’un fournisseur de confiance".

Pratik Savla, ingénieur principal en sécurité chez Venafi, commente :

"La signature numérique est l’un des mécanismes les plus importants fournis par Microsoft. Ce processus a été créé pour empêcher les campagnes de distribution de charges utiles malveillantes. Tout compromis pourrait entraîner des problèmes importants car les attaquants qui réussissent à usurper les certificats de signature de code peuvent faire passer un programme malveillant pour un binaire système Windows légitime.

Cette faiblesse pourrait être utile dans l’exécution de divers scénarios. Par exemple, si un attaquant envisage d’établir un cheval de Troie d’accès à distance (RAT) et un canal de commande et de contrôle (C2) sur une machine Windows ciblée, il cherche des moyens d’éviter la détection de la charge utile pour établir la persistance. Si les attaquants déguisent un binaire exécutable malveillant de manière à ce qu’il ressemble à un binaire système Windows, il peut rester non détecté par AV. Cela pourrait permettre aux attaquants de se fondre dans la masse et de l’installer, et ils obtiennent que le canal C2 soit rétabli au redémarrage".

Kevin Bocek, vice-président de la stratégie de sécurité et du renseignement sur les menaces chez Venafi, ajoute :

"Chaque dispositif Windows repose sur la confiance établie par le TLS et les certificats de signature de code, qui font office d’identités machine. Si vous brisez ces identités, vous ne pourrez pas faire la différence entre les logiciels malveillants et les logiciels Microsoft.

C’est une bonne chose que Microsoft traite cela avec urgence, toute vulnérabilité avec la partie centrale de Windows est grave. En plus de vos propres certificats, il y a des centaines d’Autorités de Certification installées dans Windows. Malheureusement, de nombreuses organisations ignorent totalement le nombre de certificats présents sur leur système et les cyber-attaquants sont plus que disposés à exploiter cela. Ces vulnérabilités devraient nous rappeler la confiance aveugle que nous avons dans la cryptographie et les identités des machines. Les équipes de sécurité ont besoin de visibilité, d’intelligence et d’automatisation pour savoir où se trouvent les identités de leurs machines et pouvoir les modifier".




Voir les articles précédents

    

Voir les articles suivants