Une faille critique dans les centres de données et les applications fonctionnant sous Windows, que Microsoft a corrigée à la mi-2022, reste non corrigée dans presque tous les terminaux vulnérables, exposant d’innombrables utilisateurs à des risques d’attaques de différents logiciels malveillants, voire de rançongiciels.
Les chercheurs en cybersécurité d’Akamai ont publié une preuve de concept (PoC) pour la faille et ont déterminé le pourcentage élevé d’appareils non encore réparés.
La vulnérabilité à laquelle Akamai fait référence est CVE-2022-34689, une vulnérabilité d’usurpation de Windows CryptoAPI qui permet aux pirates de s’authentifier ou de signer du code en tant que certificat ciblé. En d’autres termes, les acteurs de la menace peuvent utiliser la faille pour prétendre être une autre application ou un autre système d’exploitation et faire fonctionner ces applications sans déclencher d’alarme.
Ignorer le patch
« Nous avons constaté que moins de 1 % des appareils visibles dans les centres de données sont corrigés, ce qui rend les autres non protégés contre l’exploitation de cette vulnérabilité », ont déclaré les chercheurs d’Akamai.
S’adressant à The Register, les chercheurs ont confirmé que 99% des terminaux n’étaient pas corrigés, mais cela ne signifie pas nécessairement qu’ils sont vulnérables – il doit toujours y avoir une application vulnérable à exploiter par les attaquants.
La faille a reçu un score de gravité de 7,5 et a été étiquetée comme « critique ». Microsoft a publié un correctif en octobre 2022, mais peu d’utilisateurs l’ont encore appliqué.
« Jusqu’à présent, nous avons constaté que les anciennes versions de Chrome (v48 et antérieures) et les applications basées sur Chromium peuvent être exploitées », ont déclaré les chercheurs. « Nous pensons qu’il existe des cibles plus vulnérables dans la nature et nos recherches sont toujours en cours. »
Lorsque Microsoft a initialement corrigé la faille, il a déclaré qu’il n’y avait aucune preuve que la vulnérabilité était exploitée à l’état sauvage. Cependant, maintenant que le PoC est accessible au public, il est prudent de supposer que différents acteurs de la menace commenceront à rechercher des terminaux vulnérables. (s’ouvre dans un nouvel onglet). Après tout, la méthodologie leur a été donnée sur un plateau d’argent, il ne leur reste plus qu’à trouver une victime.
Via : Le Registre (s’ouvre dans un nouvel onglet)