0patch : une vulnérabilité 0-day de Windows comblée par un tiers

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités 0patch : une vulnérabilité 0-day de Windows comblée par un tiers

Publié le 06 mars 2017 à 11:30 par Jérôme G.

Lire sur mobile

Un patch temporaire pour une vulnérabilité de sécurité 0-day affectant Windows est divulguée publiquement. Un soin palliatif qui n'est pas l'œuvre de Microsoft.

Actuellement, trois vulnérabilités 0-day existent dans des produits Microsoft. Deux failles affectant Windows et les navigateurs Microsoft Edge et IE ont été divulguées publiquement par Project Zero de Google, et une autre affectant le traitement du trafic SMB dans Windows par le chercheur en sécurité Laurent Gaffié.

Ces failles ne disposent pas d'un quelconque correctif prodigué par Microsoft, et le report du Patch Tuesday de février n'arrange rien à l'affaire, laissant craindre l'apparition d'attaques. C'est dans ce contexte que la plate-forme 0patch de Acros Security sort du bois pour proposer un patch.

Un membre de l'équipe 0patch a mis au point un palliatif pour la faille 0-day référencée CVE-2017-038. Il s'agit d'un problème au niveau de la bibliothèque logicielle gdi32.dll (Graphics Device Interface). Un composant graphique de Windows qui traite les objets en mémoire.

Son exploitation permet à un attaquant de lire du contenu de la mémoire par le biais d'un fichier EMF. Les données divulguées sont fonction de l'endroit en mémoire où ce fichier est exécuté. Un ingénieur de Google avait confirmé une exploitation en local dans Internet Explorer et à distance dans Office Online par le biais d'un document .docx contenant un fichier EMF spécialement conçu.

Le problème fait écho à des bugs de sécurité corrigés en juin 2016 mais pas de manière complète. La patch de 0patch peut être appliqué via une copie gratuite du client 0patch Agent. 0patch se présente comme une solution pour " corriger rapidement des 0days et vulnérabilités sans patch ", appliquer des correctifs pour " des produits en fin de vie et sans support, des systèmes d'exploitation, des composants tiers vulnérables et des logiciels personnalisés. "

En l'occurrence, le patch pour Windows est temporaire. Lorsque Microsoft corrigera lui-même le problème, le membre de 0patch explique que le composant gdi32.dll vulnérable sera remplacé et " notre patch cessera automatiquement d'être appliqué car il est strictement lié à la version vulnérable du fichier DLL. "

Évidemment, on peut être quelque peu rétif à l'idée d'opter ainsi pour une correction par un tiers (même si ici il n'y a pas de modification de gdi32.dll). Soulignons par ailleurs que les failles 0-day qui traînent en ce moment pour Microsoft ne sont pas considérées critiques. Si cela avait été le cas, on ose imaginer que la firme de Redmond aurait procédé à des corrections en urgence.