Microsoft Windows 10, une faille a été découverte par la NSA

Après qu’Adobe ait distribué son premier Patch Tuesday de l’année, c’était au tour de Microsoft de sécuriser ses milliards d’usagers. 49 vulnérabilités ont été trouvées dans plusieurs produits du géant américain.

Ce qui est inhabituel dans ce dernier Patch Tuesday est que l’un des patchs répare une faille importante dans le composant cryptographique principal de Windows 10, et les éditions Server 2016 et 2019. Cette faille de sécurité a été découverte et signalée par l’Agence de Sécurité Nationale (NSA) des Etats-Unis.

C’est intéressant car c’est la première fois que la NSA signale une vulnérabilité dans le système d’exploitation Windows. On se souvient notamment de la faille Eternalblue que l’agence a gardé secret pendant au moins 5 ans et qui a ensuite été partagé avec le public par un groupe mystérieux. C’est cette faille qui est responsable de la menace WannaCry en 2017.

CVE-2020-0601: Vulnérabilité Spoofing de CryptoAPI sur Windows

Selon le rapport publié par Microsoft, la faille, nommée ‘NSACrypt‘ et identifié comme CVE-2020-0601, réside dans le module Crypt32.dll qui contient plusieurs ‘fonctions de Certificats et de Messagerie Cryptographique’ utilisées par l’API Crypto de Windows pour effectuer le chiffrement et le déchiffrement des données.

Le problème se trouve dans la méthode utilisée par le module Crypt32.dll pour valider les certificats Cryptographiques à Courbes Elliptiques (ECC). Cette méthode est la méthode standard de l’industrie pour le chiffrement des clés publiques et est utilisé dans la majorité des certificats SSL/TLS.

Dans un communiqué publié par la NSA, l’agence explique que “la vulnérabilité de validation de certificat permet au hacker de changer comment Windows vérifie l’intégrité du chiffrement et permet l’exécution de code à distance.

L’exploitation de la vulnérabilité permet aux hackers d’abuser la validation de confiance entre:

  • les connexions HTTPS
  • les fichiers et les emails signés
  • le code exécutable signé exécuté en tant que processus utilisateur

Bien que les détails techniques de la faille ne sont pas encore disponible au public, Microsoft a confirmé que la faille permet d’usurper des signatures digitales de logiciels et de pousser les systèmes d’exploitation à installer des logiciels malveillants qui se font passer pour des logiciels légitimes.

“Une vulnérabilité de spoofing (usurpation) existe dans la méthode utilisée par Windows CryptoAPI(Crypt32.dll) pour valider les certificats Cryptographique à Courbe Elliptique(ECC)” peut-on lire dans le rapport de Microsoft.

“Un hacker peut exploiter la vulnérabilité en utilisant un faux certificat pour signer un exécutable malveillant, en le faisant passer pour un fichier venant d’une source légitime. L’utilisateur ne pourra pas savoir que le fichier est malveillant car la signature digitale ressemblera à une signature venant d’un fournisseur de confiance.”

En plus de cela, la faille de CryptoAPI facilite les choses pour effectuer une attaque man-in-the-middle à distance en se faisant passer pour des sites internet ou en déchiffrant des informations confidentielles de l’utilisateur.

“Cette vulnérabilité est classé comme étant importante et n’est pas encore utilisée par les cybercriminels,” a déclaré Microsoft dans un article.

“Cette vulnérabilité est un exemple de notre partenariat avec la communauté de chercheur en sécurité informatique où une vulnérabilité a été signalé en privé et une mise à jour a été distribué pour assurer la sécurité des clients.”

En plus de la faille CryptoAPI, Microsoft a patché 48 autres vulnérabilités, 8 d’entre elles sont critiques et 40 sont importantes.

microsoft patch tuesday

Il n’y a pas de mitigation pour cette vulnérabilité, il est donc recommandé d’installer la mise à jour de Windows le plus tôt possible.

D’autres failles d’exécutions de code à distance dans Microsoft Windows

2 des failles critiques affectent Remote Desktop Gateway (RD Gateway) et sont identifiées comme CVE-2020-0609 et CVE-2020-0610. Elles peuvent être exploité sans authentification en exécutant du code malveillant sur les systèmes ciblés en se contentant d’envoyer une requête spéciale via RDP.

“La vulnérabilité est pré-authentification et ne requiert aucune action de l’utilisateur. Un hacker qui a exploité cette vulnérabilité peut exécuter du code arbitraire sur le système ciblé,” peut-on lire dans le rapport.

Une autre faille critique se trouve dans Remote Desktop Client et a reçu l’identifiant CVE-2020-0611. Elle pourrait mener à une attaque RDP inverse où un serveur malveillant peut exécuter du code arbitraire sur le PC du client connecté.

“Pour exploiter cette vulnérabilité, un hacker aura besoin d’avoir le contrôle d’un serveur et de convaincre un usager de se connecter à ce serveur,” explique le rapport. “Il est aussi possible de compromettre un serveur légitime, mettre du code malveillant dessus et attendre que l’utilisateur se connecte.”

Heureusement, aucunes des failles adressées par Microsoft ce mois-ci n’ont été publiquement divulgué et elles ne sont pas exploitées activement par des hackers.

Le mois dernier Microsoft avait patché 7 vulnérabilités dans leur Patch Tuesday.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x