« Patch Tuesday et Windows » : Microsoft apporte des correctifs pour une faille majeure

0
111
Microsoft va proposer à l’occasion du premier Patch Tuesday de 2020 de nombreux correctifs dont un patch pour colmater une faille majeure. La vulnérabilité en question réside dans un composant Windows connu sous le nom de crypt32.dll, un module Windows qui, selon Microsoft, gère ” les fonctions de certificat et de messagerie cryptographique dans le CryptoAPI “.
 
Tribune Venafi – Selon Microsoft, ” un attaquant pourrait exploiter la vulnérabilité en utilisant un certificat de signature de code usurpé pour signer un exécutable malveillant, faisant croire que le fichier provient d’une source fiable et légitime “. L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semblerait provenir d’un fournisseur de confiance”.
 
Pratik Savla, ingénieur principal en sécurité chez Venafi, commente :
 
“La signature numérique est l’un des mécanismes les plus importants fournis par Microsoft. Ce processus a été créé pour empêcher les campagnes de distribution de charges utiles malveillantes. Tout compromis pourrait entraîner des problèmes importants car les attaquants qui réussissent à usurper les certificats de signature de code peuvent faire passer un programme malveillant pour un binaire système Windows légitime.
 
Cette faiblesse pourrait être utile dans l’exécution de divers scénarios. Par exemple, si un attaquant envisage d’établir un cheval de Troie d’accès à distance (RAT) et un canal de commande et de contrôle (C2) sur une machine Windows ciblée, il cherche des moyens d’éviter la détection de la charge utile pour établir la persistance. Si les attaquants déguisent un binaire exécutable malveillant de manière à ce qu’il ressemble à un binaire système Windows, il peut rester non détecté par AV. Cela pourrait permettre aux attaquants de se fondre dans la masse et de l’installer, et ils obtiennent que le canal C2 soit rétabli au redémarrage”.
 
Kevin Bocek, vice-président de la stratégie de sécurité et du renseignement sur les menaces chez Venafi, ajoute :
 
“Chaque dispositif Windows repose sur la confiance établie par le TLS et les certificats de signature de code, qui font office d’identités machine. Si vous brisez ces identités, vous ne pourrez pas faire la différence entre les logiciels malveillants et les logiciels Microsoft.
 
C’est une bonne chose que Microsoft traite cela avec urgence, toute vulnérabilité avec la partie centrale de Windows est grave. En plus de vos propres certificats, il y a des centaines d’Autorités de Certification installées dans Windows. Malheureusement, de nombreuses organisations ignorent totalement le nombre de certificats présents sur leur système et les cyber-attaquants sont plus que disposés à exploiter cela. Ces vulnérabilités devraient nous rappeler la confiance aveugle que nous avons dans la cryptographie et les identités des machines. Les équipes de sécurité ont besoin de visibilité, d’intelligence et d’automatisation pour savoir où se trouvent les identités de leurs machines et pouvoir les modifier”.
 
Commentaire de Dagobert Levy, Vice-President South EMEA chez Tanium sur cette actualité :

“Le Patch Tuesday de Microsoft a révélé une vulnérabilité de sécurité critique dans sa bibliothèque cryptographique utilisée par Windows 10, Server 2016 et Server 2019. Un hacker pourrait utiliser cette vulnérabilité pour usurper un certificat de signature de code et faire passer un logiciel malveillant pour un logiciel légitime aux yeux du système d’exploitation de Microsoft. Il pourrait également mener des attaques de type “man-in-the-middle” contre les logiciels affectés et décrypter des informations sensibles. Comme nous l’avons appris des attaques comme WannaCry, l’incapacité à corriger des vulnérabilités connues peut être dévastatrice. Pour les entreprises, il est essentiel d’avoir une visibilité et un contrôle des serveurs et des postes de travail, afin de s’assurer que la correction de cette vulnérabilité est bien effective. Les entreprises ne peuvent pas protéger les actifs qu’elles ne peuvent pas voir, elles auront besoin d’une visibilité fiable et en temps réel de leur environnement de sécurité pour s’assurer qu’ils sont protégés au mieux.”