Microsoft: 2 exploits publiés pour une faille récente

Deux exploits ont été partagé avec le public pour la faille de sécurité de Microsoft qui avait été découverte par la NSA.

La vulnérabilité (CVE-2020-0601) pourrait permettre à un hacker d’imiter le certificat (nécessaire à la validation de programmes exécutables sur Microsoft Windows) pour se faire passer pour une application légitime. Nous vous avions déjà parlé de cette faille dans notre article concernant le Patch Tuesday du mois de Janvier de Microsoft. C’était la première fois que la NSA signalait un bug à Microsoft.

Les deux exploits ont été publié sur GitHub. Ils permettent à un hacker de lancer des attaques MitM (Man in the Middle), ce qui permet d’imiter les signatures de fichiers et d’emails et de donner une fausse signature à un autre programme qui correspondrait à la signature d’un programme connu par Windows. L’un des exploits a été créé par Kudelski Security et l’autre par un chercheur en sécurité qui se fait appeler “Ollypwn“.

Selon le rapport de Microsoft, la vulnérabilité existe dans la méthode utilisée par Windows CryptoAPI (API de Microsoft qui permet aux développeurs de sécuriser les applications Windows en utilisant la cryptographie) pour valider les certificats créés avec des courbes elliptiques de chiffrement(ECC).

Dans un communiqué, Kudelski Security a déclaré avoir lancé l’exploit en utilisant un certificat de ‘courbe P384’ qui utilise ECC (plus précisément, l’autorité de certificat USERETrust ECC). Le chercheur a été capable de créer une clé utilisée pour signer le certificat de ‘courbe P384’ avec un nom de domaine arbitraire. Ce certificat serait donc ensuite reconnu par CryptoAPI.

Une autre preuve de concept d’un exploit a été publié par l’expert en sécurité Danois “Ollypwn“.

“Quand Windows vérifie si le certificat est légitime, il verra qu’il a été signé par notre autorité de certificat,” a déclaré Ollypwn dans un rapport de son exploit. “Il jette ensuite un oeil à la clé public de notre autorité de certificat et le compare avec les autorités de certificat connues. Il vérifie ensuite la signature de notre certificat d’autorité avec le faux générateur d’autorité de certificat – c’est le problème.”

microsoft windows

Un troisième exploit a été développé par l’expert en sécurité Saleem Rashid qui a déclaré sur Twitter que sa preuve de concept lui a permis de fausser des certificats TLS et de créer des sites qui ressemblent à des sites connus. Cependant, Rashid n’a pas partagé le code de son exploit avec le public.

Les chercheurs ont déclaré que les exploits fonctionnent mais ils montrent que la faille n’est pas facile à exploiter pour les hackers car les victimes devront d’abord visiter un site spécifique, ce qui rend les attaques ciblées un peu plus difficile.

Les usagers de Microsoft ne doivent pas trop s’alarmer

“Au final, garder en tête que ce genre de vulnérabilités ne sera pas exploité par des novices,” ont déclaré les chercheurs de Kudelski Security dans leur analyse. “C’est un gros problème parce que cela pourrait permettre une attaque Man-in-the-Middle contre n’importe quel site, mais il faudrait que le hacker ait le contrôle du réseau sur lequel vous êtes, cela est possible pour les hackers sponsorisés par des gouvernements mais pas pour les novices.”

Le site de support de technologie “AskWoody” a confirmé: “Il n’y a aucun doute que le code fonctionne mais il y’a un prérequis. Pour se faire avoir par cette faille de sécurité, il faut d’abord visiter un site spécifique. Ce site chargera un certificat de sécurité qui est essentiel pour que le code de la preuve de concept fonctionne. Cela limite beaucoup la menace.”

Malgré la complexité de l’exploitation, les experts en sécurité affirment que la publication des exploits ouvre la voie pour de futurs exploitations de CVE-2020-0601 par des pirates. Les chercheurs recommandent aux utilisateurs de s’assurer que leurs systèmes d’exploitation Microsoft sont à jour.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x