Kaspersky découvre une faille Zero Day dans Windows

0
129

Kaspersky découvre dans Windows une faille Zero Day exploitée par une attaque ciblée.

Tribune – Les technologies de détection automatisée de Kaspersky ont découvert une vulnérabilité Zero Day dans Windows. L’exploitation de cette faille a permis à des assaillants d’obtenir des privilèges plus élevés sur la machine attaquée et de contourner les mécanismes de protection dans le navigateur Google Chrome. Cette nouvelle vulnérabilité a été exploitée dans le cadre de l’opération malveillante WizardOpium.

Les vulnérabilités Zero Day sont des failles jusque-là inconnues dans un logiciel qui, si elles sont repérées en premier par des criminels, leur permettent de sévir en passant inaperçus pendant une durée prolongée et d’infliger ainsi des dommages graves et imprévus. Les solutions de sécurité habituelles n’identifient pas l’infection du système et ne sont donc pas en mesure de protéger les utilisateurs contre une menace qui reste à déterminer.

La nouvelle faille Zero Day dans Windows a été découverte par les chercheurs de la société grâce à la technologie Kaspersky Exploit Prevention, intégrée à la plupart de ses produits. En novembre 2019, cette technologie a pu détecter une exploitation de vulnérabilité Zero Day dans Google Chrome, permettant à des auteurs d’attaques d’exécuter du code arbitraire sur la machine ciblée. Après une enquête plus poussée sur cette opération, surnommée WizardOpium par les experts, c’est une autre vulnérabilité qui a été découverte, cette fois dans le système d’exploitation Windows.

Il est apparu que cette faille Zero Day nouvellement découverte dans Windows, de type « élévation de privilèges » (EoP), référencée CVE-2019-1458, était exploitée dans une attaque précédemment lancée contre Google Chrome. Elle permettait d’obtenir des privilèges plus élevés sur la machine infectée et d’échapper à la Sandbox de Chrome, un composant destiné à protéger le navigateur et l’ordinateur ciblé contre des attaques.

Une analyse détaillée de l’attaque EoP a révélé que la vulnérabilité exploitée touche le pilote win32k.sys. Cette exploitation était possible dans les dernières versions corrigées de Windows 7 voire dans certaines versions de Windows 10 (dont les dernières mises à jour ne sont cependant plus concernées).

« Ce type d’attaque nécessite de vastes ressources mais il apporte des avantages majeurs à ses auteurs qui, comme nous pouvons le voir, ne se privent pas de l’exploiter. Le nombre de failles Zero Day existantes ne cesse de croître et il est peu probable que cette tendance s’inverse. Les entreprises doivent s’appuyer sur les plus récentes informations disponibles au sujet des menaces et mettre en place des technologies de protection capables de détecter proactivement les menaces inconnues, telles que les vulnérabilités Zero Day », commente Anton Ivanov, expert en sécurité chez Kaspersky.

Les produits Kaspersky détectent cette vulnérabilité avec le verdict suivant : PDM:Exploit.Win32.Generic. La vulnérabilité a été signalée à Microsoft et corrigée le 10 décembre 2019.

Pour prévenir l’installation de backdoors via une vulnérabilité Zero Day de Windows, Kaspersky recommande les mesures de sécurité suivantes :

  • Installez dès que possible le correctif de Microsoft pour la nouvelle vulnérabilité. Une fois le correctif téléchargé, la faille ne pourra plus être exploitée.
  • Veillez à mettre à jour tous vos logiciels dès qu’un nouveau correctif est disponible afin d’assurer la sécurité de l’entreprise dans son ensemble. Utilisez des produits de sécurité offrant des outils d’évaluation des vulnérabilités et de gestion des correctifs de sorte que ces processus s’exécutent automatiquement.
  • Utilisez une solution de sécurité éprouvée, dotée de fonctions de détection comportementale pour vous protéger contre les menaces inconnues.
  • Veillez à ce que votre équipe de sécurité ait accès aux informations les plus récentes de veille sur les cybermenaces.
  • Utilisez une technologie de type sandbox pour analyser les objets suspects.

Pour plus de détails sur la nouvelle vulnérabilité, consultez le rapport complet sur Securelist.