Correction d’un bug Windows critique aujourd’hui activement exploité pour pirater les utilisateurs.

Microsoft a corrigé mardi deux vulnérabilités de Windows que les pirates exploitent activement dans la nature pour installer des applications malveillantes sur les ordinateurs des utilisateurs involontairements.

La première vulnérabilité réside dans le moteur VBScript inclus dans toutes les versions actuellement prises en charge de Windows. Ce que l’on appelle une faille « use-after-free » impliquant la façon dont le moteur traite la mémoire de l’ordinateur permet aux pirates d’exécuter le code de leur choix qui s’exécute avec les mêmes privilèges système choisis par l’utilisateur connecté. Lorsque des utilisateurs ciblés sont connectés avec des droits d’administration, les attaquants qui exploitent le bug peuvent prendre le contrôle total du système. Dans le cas où les utilisateurs sont connectés avec des droits plus limités, les pirates peuvent toujours être en mesure d’augmenter les privilèges en exploitant une vulnérabilité distincte.

CVE-2018-8174, comme la faille est formellement indexée, est activement exploitée par des attaquants, ont indiqué les responsables de Microsoft. La vulnérabilité a été découverte par le fournisseur d’antivirus Kaspersky Lab, qui l’a ensuite signalé à Microsoft.
Cette faille concerne notamment :
– Les cibles reçoivent un document RTF Microsoft Office malveillant.
– Après son ouverture, le document malveillant entraîne le téléchargement de la seconde étape de l’exploit sous la forme d’une page HTML avec code malveillant.
– Le code malveillant déclenche le bug de mémoire use-after-free.
– Le shellcode d’accompagnement télécharge et exécute ensuite une charge utile malveillante.

Le chercheur en sécurité de Kaspersky Lab, Anton Ivanov, a écrit ce qui suit dans un email :

« Cette technique, jusqu’à sa correction, permettait aux criminels de forcer Internet Explorer à se charger, quel que soit le navigateur utilisé, augmentant ainsi une surface d’attaque déjà énorme… Nous invitons les organisations et les utilisateurs privés à installer immédiatement les correctifs récents, car il faudra longtemps avant que les exploits de cette vulnérabilité ne deviennent des kits d’exploitation populaires et ne seront pas seulement utilisés par des acteurs sophistiqués de la menace, mais aussi par des cybercriminels standards. »

Dans un avis publié mardi, les responsables de Microsoft ont déclaré que les attaquants pourraient également exploiter la vulnérabilité en hébergeant un exploit sur un site Web ou dans des publicités de site Web et en trompant une cible pour afficher le contenu malveillant avec le navigateur IE. Ni Microsoft ni Kaspersky Lab n’ont fourni de détails sur les personnes qui exploitent la vulnérabilité, sur les personnes exploitées ou sur l’ampleur des failles. Microsoft a attribué à CVE-2018-8174 la note « critique », la note de gravité la plus élevée de l’entreprise.

La deuxième vulnérabilité est une faille d’escalade de privilèges dans le composant Win32k de Windows. « Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau », ont écrit les responsables de Microsoft dans un avis séparé. « Un hacker pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes avec des droits d’utilisateur complets. » Le défaut est noté « important », un niveau inférieur à « critique ». Microsoft n’a pas fourni de détails sur les exploits in-the-wild.

Au total, Microsoft a publié 68 bulletins de sécurité mardi dans le cadre de sa publication mensuelle des correctifs. Vingt-et-un correctifs ont été jugés critiques, 45 ont été jugés importants et deux ont été jugés de faible gravité. D’autres bulletins remarquables ont corrigé des vulnérabilités d’exécution de code à distance dans les environnements Hyper-V et Hyper-V SMB de Microsoft et une vulnérabilité d’usurpation de SDK Azure IoT.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage