Microsoft a confirmé qu’une vulnérabilité « zero-day » non corrigée dans le système d’exploitation Windows, et qui affecte toutes les versions de Windows 7 à Windows 10, est activement ciblée.

 Microsoft a d’abord été informé de la vulnérabilité par l’équipe du Project Zero de Google, une unité spécialisée composée de chasseurs de vulnérabilités de premier plan, qui traque ces bogues de sécurité dits « zero-day ». Comme le Project Zero avait identifié que le problème de sécurité était activement exploité dans la nature par des hackers, il a donné à Microsoft un délai de seulement sept jours pour le corriger avant de le divulguer. Microsoft n’a pas publié de correctif de sécurité dans ce délai extrêmement restrictif, et Google a publié les détails de la vulnérabilité « zero-day », qui est suivie sous le nom de CVE-2020-17087.


Le bogue se trouve dans le pilote de cryptographie du noyau de Windows, connu sous le nom de cng.sys, et pourrait permettre à un hacker d’augmenter les privilèges dont il dispose lorsqu’il accède à un système d’exploitation Windows. Tous les détails techniques se trouvent dans la divulgation du Project Zero de Google, mais il s’agit simplement d’un problème de débordement de mémoire tampon qui pourrait permettre à un hacker de contrôler l’ordinateur Windows ciblé au niveau de l’administrateur.

Bien que les hackers soient connus pour cibler activement les systèmes Windows en ce moment, cela ne signifie pas que votre système est en panne. Tout d’abord, selon une confirmation de Shane Huntley, directeur du groupe d’analyse des menaces de Google, les hackers repérés exploitant la vulnérabilité ne ciblent aucun système lié aux élections américaines pour le moment. C’est une bonne nouvelle, mais ce n’est pas tout !

Si Microsoft a confirmé que l’attaque signalée est réelle, elle suggère également qu’elle est de portée limitée étant donné sa nature ciblée. Il ne s’agit pas, du moins pour l’instant, d’une attaque de grande envergure. Microsoft affirme qu’elle ne dispose d’aucune preuve d’un quelconque indice d’exploitation à grande échelle.

Ensuite, il y a l’attaque elle-même, qui nécessite l’enchaînement de deux vulnérabilités. L’une d’entre elles a déjà été corrigée, il s’agit d’une vulnérabilité basée sur le navigateur, CVE-2020-15999, dans les navigateurs Chrome (y compris Microsoft Edge). Tant que votre navigateur est à jour, vous êtes protégé. À ce sujet, Microsoft Edge a été mis à jour le 22 octobre, tandis que Google Chrome a été mis à jour le 20 octobre. De plus, il n’y a pas d’autres chaînes d’attaque connues contre Windows à ce stade. Ce qui ne signifie pas que votre appareil est sûr à 100 %, car un hacker ayant accès à un système déjà compromis pourrait encore l’exploiter. Cependant, cela signifie qu’il n’y a pas lieu de s’inquiéter, car Microsoft a confirmé que cette vulnérabilité ne peut pas être exploitée pour affecter les fonctionnalités cryptographiques.

Quant au délai de divulgation de sept jours accordé par l’équipe du project Zero de Google, le porte-parole de Microsoft a déclaré : « Bien que nous nous efforcions de respecter les délais de divulgation de tous les chercheurs, y compris les délais à court terme comme dans le cas échéant, le développement d’une mise à jour de sécurité est un équilibre entre la rapidité et la qualité, et notre objectif ultime est de contribuer à assurer une protection maximale de nos utilisateurs tout en engendrant un minimum de perturbations ».

En outre, bien que Microsoft n’ait pas commenté le calendrier probable d’un correctif de sécurité pour empêcher l’exploitation de cette vulnérabilité de Windows, le responsable technique du Project Zero, Ben Hawkes, a tweeté qu’il est attendu dans le cadre des mises à jour des correctifs le 10 novembre.

Enfin, quelle est l’ampleur de la menace pour les utilisateurs lambda de Windows ? Cela reste à voir, mais pour l’instant il semblerait que ce soit une situation de vigilance orange. Faites attention, assurez-vous que vos navigateurs web sont à jour, et tout devrait bien se passer. En effet, il y a des risques bien plus importants pour vos données que cette attaque « zero-day », tels que le phishing sous toutes ses formes, la réutilisation des mots de passe, l’absence d’authentification à deux facteurs et des logiciels qui ne sont pas mis à jour avec les correctifs de sécurité.

Article traduit de Forbes US – Auteur : Davey Winder

<<< À lire également : Cette Nouvelle Fonction de Sécurité Sur Windows 10 >>>