Une vulnérabilité plus grave qu’EternalBlue était présente dans Windows depuis un certain temps, avant d’être finalement découverte et corrigée, ont révélé des experts.
Pour ceux qui ont une mémoire plus courte, EternalBlue était un zero-day construit par la NSA pour Windows qui a donné naissance à WannaCry, peut-être la menace de ransomware mondiale la plus dévastatrice à avoir jamais émergé.
Les chercheurs d’IBM, qui ont découvert la faille, ont déclaré qu’elle était encore plus puissante car elle résidait dans un plus large éventail de protocoles réseau, donnant aux acteurs de la menace plus de flexibilité lors de la conduite de leurs attaques.
Trois mois d’avance
La faille, identifiée comme CVE-2022-37958, n’est pas exactement nouvelle, car elle a été découverte – et corrigée – il y a trois mois.
La nouvelle est que personne – ni les chercheurs, ni Microsoft qui a publié le correctif – ne savait exactement à quel point il était vraiment dangereux. En réalité, cela permet aux pirates d’exécuter du code malveillant sans avoir besoin d’authentification. De plus, il est vermifuge, ce qui permet aux pirates de déclencher une réaction en chaîne d’exploits auto-multiplicateurs sur d’autres terminaux vulnérables. En d’autres termes, le logiciel malveillant abusant de la faille pourrait se propager sur les appareils comme une traînée de poudre.
Discuter des découvertes avec Ars TechnicaValentina Palmiotti, la chercheuse en sécurité d’IBM qui a découvert la vulnérabilité d’exécution de code, a déclaré qu’un attaquant pourrait déclencher la vulnérabilité via « n’importe quel protocole d’application Windows qui s’authentifie ».
« Par exemple, la vulnérabilité peut être déclenchée en essayant de se connecter à un partage SMB ou via Remote Desktop. D’autres exemples incluent les serveurs Microsoft IIS exposés à Internet et les serveurs SMTP sur lesquels l’authentification Windows est activée. Bien sûr, ils peuvent également être exploités sur les réseaux internes s’ils ne sont pas corrigés.
Lorsque Microsoft l’a corrigé pour la première fois il y a trois mois, il pensait que la faille ne pouvait permettre qu’aux acteurs de la menace de récupérer certaines informations sensibles de l’appareil et, à ce titre, l’a qualifiée d' »importante ». Maintenant, la société a modifié la note, la qualifiant de « critique », avec un score de gravité de 8,1.
Contrairement à EternalBlue, qui était un jour zéro et qui a laissé les experts en sécurité et les fabricants de logiciels se démener pour créer un correctif, le correctif pour cette faille est disponible depuis trois mois maintenant, donc ses effets devraient être quelque peu limités.
- Voici notre aperçu des meilleurs pare-feu (s’ouvre dans un nouvel onglet) sur le marché aujourd’hui
Par: Ars Technica (s’ouvre dans un nouvel onglet)