Microsoft signale plusieurs failles 0-day sur Windows

Microsoft met en garde contre des failles zéro-day critiques dans son système d’exploitation Windows qui pourraient permettre l’exécution de code à distance. Ces failles non-corrigées sont exploitées par des pirates informatiques dans des attaques «limitées et ciblées», a indiqué le géant américain.

Rappel: une vulnérabilité zero-day — également orthographiée 0-day — est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu.

Selon Microsoft, deux vulnérabilités d’exécution de code à distance existent dans la méthode utilisée par la bibliothèque Adobe Type Manager de Windows pour gérer certaines polices. Adobe Type Manager est un outil de gestion des polices intégré aux systèmes d’exploitation Mac OS et Windows et produit par Adobe. Bien qu’aucun correctif ne soit disponible pour les failles, les solutions de mitigations peuvent protéger les utilisateurs.

“Microsoft est conscient des attaques ciblées qui pourraient exploiter des vulnérabilités non corrigées dans la bibliothèque Adobe Type Manager, et fournit les conseils suivants pour aider à réduire les risques pour les clients jusqu’à la distribution de la mise à jour de sécurité”, selon un rapport de sécurité publié par Microsoft.

Plus précisément, la faille existe parce que la version Windows de la bibliothèque Adobe Type Manager ne gère pas correctement une police spéciale (appelée le format Adobe Type 1 PostScript). Les polices vectorielles de type 1 sont une forme spécialisée de PostScript (la norme mondiale d’impression et d’imagerie), qui contient des instructions pour créer des contours à partir de lignes et de courbes évolutives (remplies pour créer les formes solides des lettres et autres glyphes), selon Adobe.

microsoft

Il existe plusieurs méthodes pour un cybercriminels d’exploiter ces vulnérabilités, a expliqué Microsoft. Par exemple, un pirate informatique pourrait convaincre un utilisateur d’ouvrir un document spécial ou de le visualiser dans le volet Aperçu de Windows. Le volet d’aperçu de Windows est utilisé par l’application de gestion de fichiers de l’Explorateur Windows (appelé Explorateur de fichiers dans Windows 10) pour prévisualiser les images, les vidéos et tout autre contenu.

Toutes les versions de Windows actuellement prises en charge sont affectées, y compris Windows 10, ainsi que Windows 7, Windows 8.1, Windows RT, Windows Server 2008, Windows Server 2012, Windows Server 2016 et Windows Server 2019 (une liste complète des versions concernées peut être trouvé dans le rapport). Windows 7 est également affecté, bien qu’il ne soit plus supporté, a déclaré Microsoft.

Solutions de Microsoft

Bien qu’aucun correctif ne soit encore disponible, Microsoft a recommandé une série de mitigations et de solutions de contournement. Cela inclut la désactivation du volet d’aperçu et du volet de détails dans Windows. Bloquer cela signifierait que l’Explorateur Windows (ou l’Explorateur de fichiers dans Windows 10) n’affichera pas automatiquement les polices OpenType.

«La désactivation des volets Aperçu et Détails dans l’Explorateur Windows empêche l’affichage automatique des polices OTF dans l’Explorateur Windows», a déclaré Microsoft. “Bien que cela empêche l’affichage de fichiers malveillants dans l’Explorateur Windows, cela n’empêche pas un utilisateur local authentifié d’exécuter un programme spécial pour exploiter cette vulnérabilité.”

microsoft

D’autres solutions de contournement incluent la désactivation du service WebClient. Microsoft a déclaré que la désactivation de ce service bloque le service client WebDAV (Web Distributed Authoring and Versioning), qui est un «probable vecteur d’attaque à distance». WebDAV est une extension HTTP qui permet aux clients d’effectuer des opérations de création de contenu Web à distance.

«Après avoir appliqué cette solution de contournement, il est toujours possible pour des pirates informatiques distants qui exploitent avec succès cette vulnérabilité de faire exécuter des programmes situés sur l’ordinateur de l’utilisateur ciblé ou sur le réseau local (LAN), mais les utilisateurs seront invités à confirmer avant d’ouvrir des programmes arbitraires à partir d’Internet », a déclaré Microsoft.

Une autre solution consiste à renommer ATMFD.DLL (le nom de fichier de Adobe Type Manager Font Driver ), a déclaré Microsoft. La société a également noté que pour les systèmes exécutant des versions prises en charge de Windows 10, une attaque réussie ne pouvait entraîner que l’exécution de code dans le contexte d’une sandbox AppContainer avec des privilèges et des capacités limités.

Microsoft a déclaré qu’il travaillait actuellement sur un patch et qu’un correctif viendrait probablement lors de ses mises à jour régulières Patch Tuesday (prévues pour le 14 avril).

«Les mises à jour qui corrigent les failles de sécurité des logiciels Microsoft sont généralement publiées lors de la mise à jour Patch Tuesday, le deuxième mardi de chaque mois», selon Microsoft. «Ce calendrier prévisible permet de garantir une assurance de qualité aux partenaires et la planification informatique, ce qui contribue à maintenir l’écosystème Windows comme un choix fiable et sécurisé pour nos clients.»

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x