Microsoft a publié des correctifs pour Windows 10 et Windows Server afin de résoudre une vulnérabilité signalée par la NSA et qui permettrait à un acteur malveillant d’exécuter un logiciel malveillant déguisé en application légitime.
La faille, qui avant la publication des correctifs était décrite comme « extraordinairement effrayante », affecte la façon dont Windows CryptoAPI (Crypt32.dll
) valide les certificats ECC (Elliptic Curve Cryptography). Un exploit réussi donne techniquement au hacker la possibilité de mener une attaque de type « man-in-the-middle », et ensuite être capable de déchiffrer des informations sensibles.
« Un hacker peut exploiter la vulnérabilité en utilisant un certificat de signature de code usurpé pour signer un exécutable malveillant, faisant croire que le fichier provient d’une source fiable et légitime. L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semblerait provenir d’un fournisseur de confiance », explique Microsoft.
La vulnérabilité a reçu une note de gravité « importante », Microsoft expliquant que l’exploitation est probable. Cependant, la société n’a pas connaissance que des attaques se sont produites.
D’autre part, la NSA a publié son propre avis sur la faille, exhortant tout le monde à corriger les dispositifs dès que possible.
La NSA met en garde contre de « graves » conséquences
« Cette vulnérabilité expose les terminaux Windows à un large éventail de vecteurs d’exploitation. La NSA estime que la vulnérabilité est grave et que des cyberacteurs sophistiqués comprendront très rapidement la faille sous-jacente et, si elle est exploitée, rendra les plateformes mentionnées précédemment fondamentalement vulnérables. Les conséquences de ne pas corriger la vulnérabilité sont graves et répandues. Les outils d’exploitation à distance seront probablement mis à disposition rapidement et à grande échelle », déclare la NSA.
Si la mise en place de correctifs à l’échelle de l’entreprise n’est pas possible, selon la NSA, les dispositifs qui effectuent la validation TLS, DNS, VPN et les serveurs de mise à jour devraient être prioritaires.
Toutes les versions de Windows 10 publiées à ce jour sont concernées, ainsi que Windows Server 2016, Windows Server 2019 et Windows Server version 1809, 1903 et 1909. Les correctifs sont inclus dans les mises à jour poussées ce mois-ci.