Nouvelle vulnérabilité Windows : Oh My Kernel !

Si vous faites partie des 12% d’utilisateurs Windows, vous êtes arrivés au bon endroit. C’est bien ici que vous allez en apprendre plus sur la nouvelle vulnérabilité Windows baptisée Oh My Kernel !

Le sujet qui a fait débat cette semaine dans le cyberespace est lié à une campagne de piratage détectée le 31 octobre par Google. Le lendemain, Microsoft reconnaît qu’il se trouve au centre de cette nouvelle cyber-attaque. Les experts déclarent que les cybercriminels ont réussi à s’infiltrer dans leurs systèmes en exploitant deux vulnérabilités, une au niveau d’Adobe Flash, et l’autre dans le Kernel Windows. Adobe a corrigé son Flash Player peu avant la déclaration de Google, le 26 novembre. Le correctif pallie la vulnérabilité CVE-2016-7855, une vulnérabilité de type « use-after-free ». Cette faille permet aux pirates d’entraîner la corruption de la mémoire du noyau et d’exécuter leur code malveillant à distance. À l’heure actuelle, il vous est conseillé de vérifier que la mise à jour s’est effectuée de manière automatique sur votre système. Vous allez comprendre plus tard pourquoi cette étape est non-seulement bénéfique, mais aussi indispensable.

Malheureusement, Microsoft n’a pas fait preuve de la même réactivité dans le cas de la vulnérabilité CVE-2016-7255. Effectivement, il a fallu laisser passer une semaine entière entre la révélation faite par Google et la publication d’un correctif. Microsoft se n’est pas montré très reconnaissant envers le géant du web suite à cette communication précipitée. Quelque chose dans la chanson de Mark Knopfler semble trouver écho dans cette situation : « Sometimes you’re the windshield. Sometimes you’re the bug » (« Parfois, nous sommes le pare-brise. Parfois, nous sommes la mouche »).

La vulnérabilité CVE-2016-7255 permet une escalade locale des privilèges dans le Windows kernel. Cette dernière n’est exploitable que si est précédée de la faille « use-after-free » d’Adobe. Sachez qu’Adobe Reader exécute les fichiers PDF dans une sandbox. Si les cybercriminels profitaient de cette vulnérabilité de corruption de la mémoire, ils pourraient s’échapper de la sandbox via l’appel système win32.sys NtSetWindowLongPtr(). Le résultat : Oh My Kernel ! La première faille permet de pénétrer dans le système avec les droits d’un simple utilisateur, mais la deuxième leur permet d’être promu administrateur.

La vulnérabilité Flash était présente dans chaque version du Windows OS avant que le nouveau correctif sorte. Le choix de Google d’exposer une faille ayant déjà été corrigée est-il judicieux ? Le Vice-Président de Microsoft Windows, Terry Myerson, critique la divulgation faite par le géant du web, qui estime que cette révélation a mis « les consommateurs en péril ». De l’autre coté, Google soutient avoir fait passer l’intérêt des utilisateurs en priorité en respectant sa politique habituelle en ce qui concerne la découverte de failles. « La responsabilité de l’industrie technologique est de toujours mettre le client en premier. C’est pourquoi une décision coordonnée est nécessaire avant de communiquer quoi que ce soit au public », a ajouté Myerson.

Cela soulève une interrogation : faut-il faire privilégier la communication d’une faille aux dépens de son exploitation jusqu’à la sortie du correctif approprié ?

Faille-mania : les russes frappent de nouveau

Pendant ce temps, Microsoft a exposé ceux ayant exploité la faille précédemment présentée. Les coupables font partie d’un groupe de hackers russes, un groupe dont on ne peut nier l’imagination en matière de surnom : Strontium, Fancy Bear, APT 28, Sednit et Sofacy. Pour éviter de vous troubler, nous nous contenterons d’appeler le groupe Fancy Bear. #ImSoFancy

Il ne faut pas oublier que ce groupe a gagné sa popularité grâce au piratage du Comité National Démocrate. Ses membres envoient des mails avec une pièce jointe malveillante depuis des comptes compromis. Le but est de profiter de la naïveté de la victime, même si cela implique un effort sur le long terme. Une fois que l’utilisateur dupé clique sur le lien reçu, une porte dérobée est placée dans le système. La démarche est décrite par Microsoft comme étant une campagne de phishing faible en volume, qui cible précisément des institutions telles que « le gouvernement, les institutions diplomatiques, les forces militaires appartenant à des états-membres de l’OTAN, ainsi que les pays de l’Europe de l’Est ».

Ces délinquants russes atteignent souvent leur objectif en faisant appel à des techniques de peur. Cela veut dire que, pendant des mois, les cybercriminels harcèlent constamment leurs cibles avec des fausses alertes de sécurité provenant de Google ou Microsoft. C’est exactement ce qui est arrivé à John Podesta, le leader de la campagne présidentielle d’Hillary Clinton. En mars dernier, Podesta a hélas succombé à la tentation de cliquer sur le lien qu’il avait reçu dans une fausse alerte de changement de mot de passe. Il paraît que le message envoyé a été si bien camouflé que le personnel de Clinton n’a rien soupçonné. « Une fois dans un système, le groupe circule latéralement dans le réseau de la victime et s’implante profondément pour s’assurer un accès persistent », a ajouté Myerson.

Il devient clair que nous parlons bien d’un groupe spécialisé dans les attaques de type APT. Découvert en 2007, Fancy Bear se positionne aujourd’hui parmi les menaces les plus puissantes du monde numérique. Selon un rapport publié par Microsoft l’année dernière, les membres de Fancy Bear sont caractérisés par un procédé « agressif, visant chaque fois des failles 0-day ». Myerson les identifie comme le groupe qui a réussi d’exploiter un nombre record des vulnérabilités 0-day en 2016.

Transformer vos points faibles en points forts…

…ce n’est pas applicable dans la sécurité informatique. Alors, que faire ? Mettez à jour votre système de manière régulière.

Le dernier correctif de Windows, publié mardi 8 novembre, contient quatorze mises à jours au total (ou « bulletins de sécurité » comme Microsoft préfère les appeler) qui s’attaquent à quatre types différents de failles :

• Six vulnérabilités critiques permettant l’exécution à distance de codes ;
• Une vulnérabilité non-critique permettant l’exécution à distance de codes ;
• Six vulnérabilités permettant une escalade locale des privilèges ; l’objet de notre article est centré sur la seule faille critique parmi les six.
• Une vulnérabilité permettant de contourner la sécurité si un attaquant arrive à installer une stratégie de démarrage corrompue.

Source : http://www.mondaq.com/x/544306/Security/Microsoft+Patch+Tuesday+November+2016

Documenté dans le bulletin de sécurité MS16-135, la faille communiquée par Google a beaucoup attiré l’attention et à juste cause :  la vulnérabilité en question a été désigné par Microsoft comme ayant le score le plus élevé d’exploitabilité – c’est à dire, zéro. Voici la logique derrière ce score : plus celui-ci est bas, plus la situation va de mal en pis. Du coup, ‘4’ veut dire que les systèmes n’ont pas été affectés et ‘1’ implique une exploitation forte probable. Quand une faille reçoit le score ‘0’, il est bien connu qu’elle est actuellement exploitée par les cybercriminels. Ce système de notation donne peut-être un peu plus de sens au terme « 0-day ».

Maintenant que nous avons fait la lumière sur le sujet de la vulnérabilité controversée de Windows, il ne reste qu’une seule chose à dire (ou à répéter) : “If Windows you are using, update you must”.

Article original & crédits : iTrust