Une faille Zero Day dans Windows 10 encore non corrigée

Le par  |  9 commentaire(s)
Windows-10-S-fin

Une fois de plus, Windows 10 est victime d'une faille inconnue. C'est une internaute de Twitter qui a mis en lumière cette faille zéro day qui permet à un utilisateur de prendre le contrôle d'un poste.

Le twittos SandboxEscaper mis en lumière une faille zéro day sur Windows 10 ce début de semaine, particulièrement agacé de la découverte. Particulièrement remonté contre Microsoft, la faille était accompagnée d'instructions visant à l'exploiter.

La faille concerne l'interface ALPC (Advanced Local Procedure Call) du planificateur de tâches de Windows, dont les droits et privilèges peuvent être modifiés trop facilement.

Rapidement, la déclaration a attiré la curiosité de Will Dormann, un chercheur de cybersécurité du CERT. La faille a ainsi été confirmée, l'expert ajoutant qu'elle permettrait à des individus mal intentionnés de cibler un PC dans le but d'obtenir des privilèges système et d'y installer des malwares. Malgré tout, l'exploitation de la faille requiert un accès local au PC.

Aucun correctif n'est pour l'instant disponible, Microsoft a annoncé que la faille n'avait pas de caractère urgent et que le correctif serait intégré à la mise à jour prévue le 11 septembre prochain.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2029458
Si Microsoft nous dis qu'il n'y a rien d'urgent, alors tout va bien
Le #2029459
"faille Zero Day" et "faille non corrigée" c'est un pléonasme
Le #2029462
faut un accés local au poste visé, donc oui la criticité est modéré.
Le #2029468
CoRsCiA a écrit :

faut un accés local au poste visé, donc oui la criticité est modéré.


En fait cela veut dire que ce n'est pas expoitable à distance, pas que le pirate doit être derrière le clavier (mais effectivement c'est moins grave).

En gros pour le pirate: trouver une faille qui permet une exécution de code distante (ou faire en sorte que l'utilisateur clique sur un exécutable), puis se servir de ce 0-Day pour avoir les privilèges systèmes =>win
Le #2029472
ça va, y a eu pire comme faille
Le #2029479
sebou a écrit :

ça va, y a eu pire comme faille


Oui, carrément...

Du reste, il me semble que ce type de news survient moins souvent...
Le #2029481
Comme toujours l'auteur se fend d'un "une fois de plus..." et autres joyeusetés.... quand les gouffres de sécurités d'IOS, Android et autres ne méritent que de simples alertes...
Le #2030098
Je suis d'accord. De toute façon des failles ézéro day" on en trouve maintenant dans tous les logiciels même les plus cachés comme les firmwares encore plus opaque que Windows. Si on parle beaucoup de Windows c'est à cause de son passé, mais maintenant bon nombre des failles affectent simultanément plein d'OS différents car elles sont dans les protocoles standarisés dont les spécifications sont imprécises et ne donnent pas assez de tests de conformité ni aucune procédure d'approbation.
Aujourd'hui les API des OS sont moins utilisées que les API réseau et la plupart des failles sont les les services web (REST API) de plus en plus utilisés et souvent beaucoup moins bien écrites et sécurisées que les API d'OS, car en génral presque toutes propriétaires et créées et patchées à la va-vite.
Les autres failles sont les sur les matériels : avec l'augmentation des performances des matériels elles deviennent facilement exploitables et sont bien plus difficiles à détecter: les failles les plus sérieuses sont les "time attacks" qui permettent de découvrir des secrets via des "side channels": il y en a maintenant partout sur tous les systèmes (et les correctifs pour les combler sont particulièremetn complexes car ils ont un impact sur les performances qu'on attend aujourd'hui des systèmes et sur le cout des cycles de développement: la mode du développement-déploiement en continu, avec des tests minimals (que de moins en moins de sociétés prennent du temps à écrire complètement ou à utiliser en continu) font qu'on a des bogues partout. Il faut dire que les systèmes d'aujourd'hui ont des historiques de code avec des millions de lignes, des spécifications qui changent sans arrêt, et en fait bien plus personne ne peut comprendre seul comment marche un OS, les équipes de développement ont changé, les documentations ont disparu ou sont dans des formats inexploitables par les développeurs d'aujourd'hui.

Que ce soit Windows, MacOS, Linux, Android, iOS, il y a maintenant énormément de code en commun qui a hérité de tout le passif et les systèmes ayant largement convergé exposent tous de plus en plus souvent les mêmes failles. De plus le parc installé s'est considérablemetn accru : il y a des milliards d'objets connectés, la plupart non maintenus avec le cycle de vie de 2 ou 3 ans puis plus aucun support, et même une faille touchant seulement 1% d'entre eux devient très rentable à exploiter et a un impact très vite majeur car l'exploitation d'une faille permet à des robots de plus en plus puissants de faire différents tests pour exploiter la suivante.

L'omniprésence du web dans tous les traitements et l'accès direct via les API et vieux protocoles réseau mal ficelés a changé l'échelle des problèmes. De plus ceux qui exploitent les failles ont un accès illimité aux ressources financières pour payer grassement des développeurs (qui peinent à trouver une activité rentable dans les sociétés classique), et créer un nombre illimité d'accès Internet et de comptes virtuels.
Windows n'est plus aussi mauvais qu'il l'était, son cycle de mise à jour et de correction s s'est largement amélioré.

Linux a lui aussi un cycle de correction rapide, mais un cycle de déploiement bien plus lent (et c'est encore pire avec les OS mobiles qui ont ne sont maintenus par personne, et la faute en revient non seulement aux constructeurs mais aussi et surtout aux vendeurs de matériels qui installent leurs propres patches mal écrits et pas compatible sans rien dire: ils font ça pour obliger les gens à racheter du matériel et des services, et je pense même que bon nombre de trous de sécurité sont volontaires et fonctionnent comme de l'obsolescence programmée : les concepteurs de ces matériels ont ordre de ne pas tout écrire et tester : ce qui rapporte ce n'est plus le matériel ou le logiciel de base, mais leur support technique que les clients payent à prix d'or et qui est devenu si cher que les gens mêmes ont renoncé à les utiliser tellement ce support est mauvais et cher, et se fout totalement des données personnelles et des choix des clients pour que chaque fournisseurs impose ses conditions tout en ajoutant des clauses de non-responsabilité partout dans leurs contrats de vente que les clients sont obligés d'accepter globalement).

Le problème a donc son origine essentielle dans le monde économique et les méthodes de gestion des cycles de vie qui sont devenus ridiculement courts. On trouve même des tas de produits en vente neufs qui ont été conçus il y a des années et n'ont déjà plus aucun support technique (et impossible d'en créer un alternatif sans risquer une attaque en justice à cause du barrage des brevets; la prolifération des licences a aussi rendu le paysage informatique de plus en plus obscur, on ne sait plus qui a le droit de faire quoi et au final tout le monde passe outre les restrictions : les constructeurs préfèrent jsute investir dans des assurances pour couvrir les dommages attendus car payer ces assurances pour parfois indemniser les clients coute moins cher que de développer une support technique efficace et des méthodes de gestion; les développeurs sont maintenant légions et sont une matière jetable; comme au final tout est basé sur des non-dits et mensonges, il n'y a plus de confiance nulle part, et ceux qui ont raison sont juste ceux qui ont le plus d'argent pour corrompre les systèmes et ceux qui travaillent dessus).

Les failles de sécurité sont également un business très rentable pour les sociétés qui en ont fait leur fond de commerce, et qui collaborent très peu entre elles (pire elles se combattent entre elles et ne tiennent pas compte de l'intérêt des clients)
Le #2030140
verdy_p a écrit :

Je suis d'accord. De toute façon des failles ézéro day" on en trouve maintenant dans tous les logiciels même les plus cachés comme les firmwares encore plus opaque que Windows. Si on parle beaucoup de Windows c'est à cause de son passé, mais maintenant bon nombre des failles affectent simultanément plein d'OS différents car elles sont dans les protocoles standarisés dont les spécifications sont imprécises et ne donnent pas assez de tests de conformité ni aucune procédure d'approbation.
Aujourd'hui les API des OS sont moins utilisées que les API réseau et la plupart des failles sont les les services web (REST API) de plus en plus utilisés et souvent beaucoup moins bien écrites et sécurisées que les API d'OS, car en génral presque toutes propriétaires et créées et patchées à la va-vite.
Les autres failles sont les sur les matériels : avec l'augmentation des performances des matériels elles deviennent facilement exploitables et sont bien plus difficiles à détecter: les failles les plus sérieuses sont les "time attacks" qui permettent de découvrir des secrets via des "side channels": il y en a maintenant partout sur tous les systèmes (et les correctifs pour les combler sont particulièremetn complexes car ils ont un impact sur les performances qu'on attend aujourd'hui des systèmes et sur le cout des cycles de développement: la mode du développement-déploiement en continu, avec des tests minimals (que de moins en moins de sociétés prennent du temps à écrire complètement ou à utiliser en continu) font qu'on a des bogues partout. Il faut dire que les systèmes d'aujourd'hui ont des historiques de code avec des millions de lignes, des spécifications qui changent sans arrêt, et en fait bien plus personne ne peut comprendre seul comment marche un OS, les équipes de développement ont changé, les documentations ont disparu ou sont dans des formats inexploitables par les développeurs d'aujourd'hui.

Que ce soit Windows, MacOS, Linux, Android, iOS, il y a maintenant énormément de code en commun qui a hérité de tout le passif et les systèmes ayant largement convergé exposent tous de plus en plus souvent les mêmes failles. De plus le parc installé s'est considérablemetn accru : il y a des milliards d'objets connectés, la plupart non maintenus avec le cycle de vie de 2 ou 3 ans puis plus aucun support, et même une faille touchant seulement 1% d'entre eux devient très rentable à exploiter et a un impact très vite majeur car l'exploitation d'une faille permet à des robots de plus en plus puissants de faire différents tests pour exploiter la suivante.

L'omniprésence du web dans tous les traitements et l'accès direct via les API et vieux protocoles réseau mal ficelés a changé l'échelle des problèmes. De plus ceux qui exploitent les failles ont un accès illimité aux ressources financières pour payer grassement des développeurs (qui peinent à trouver une activité rentable dans les sociétés classique), et créer un nombre illimité d'accès Internet et de comptes virtuels.
Windows n'est plus aussi mauvais qu'il l'était, son cycle de mise à jour et de correction s s'est largement amélioré.

Linux a lui aussi un cycle de correction rapide, mais un cycle de déploiement bien plus lent (et c'est encore pire avec les OS mobiles qui ont ne sont maintenus par personne, et la faute en revient non seulement aux constructeurs mais aussi et surtout aux vendeurs de matériels qui installent leurs propres patches mal écrits et pas compatible sans rien dire: ils font ça pour obliger les gens à racheter du matériel et des services, et je pense même que bon nombre de trous de sécurité sont volontaires et fonctionnent comme de l'obsolescence programmée : les concepteurs de ces matériels ont ordre de ne pas tout écrire et tester : ce qui rapporte ce n'est plus le matériel ou le logiciel de base, mais leur support technique que les clients payent à prix d'or et qui est devenu si cher que les gens mêmes ont renoncé à les utiliser tellement ce support est mauvais et cher, et se fout totalement des données personnelles et des choix des clients pour que chaque fournisseurs impose ses conditions tout en ajoutant des clauses de non-responsabilité partout dans leurs contrats de vente que les clients sont obligés d'accepter globalement).

Le problème a donc son origine essentielle dans le monde économique et les méthodes de gestion des cycles de vie qui sont devenus ridiculement courts. On trouve même des tas de produits en vente neufs qui ont été conçus il y a des années et n'ont déjà plus aucun support technique (et impossible d'en créer un alternatif sans risquer une attaque en justice à cause du barrage des brevets; la prolifération des licences a aussi rendu le paysage informatique de plus en plus obscur, on ne sait plus qui a le droit de faire quoi et au final tout le monde passe outre les restrictions : les constructeurs préfèrent jsute investir dans des assurances pour couvrir les dommages attendus car payer ces assurances pour parfois indemniser les clients coute moins cher que de développer une support technique efficace et des méthodes de gestion; les développeurs sont maintenant légions et sont une matière jetable; comme au final tout est basé sur des non-dits et mensonges, il n'y a plus de confiance nulle part, et ceux qui ont raison sont juste ceux qui ont le plus d'argent pour corrompre les systèmes et ceux qui travaillent dessus).

Les failles de sécurité sont également un business très rentable pour les sociétés qui en ont fait leur fond de commerce, et qui collaborent très peu entre elles (pire elles se combattent entre elles et ne tiennent pas compte de l'intérêt des clients)


Je suis globalement d'accord, mais pour la première partie, les failles peuvent être:

- logicielles (dont les OS)
- hardware
- au niveau des protocoles (API mais pas que)

Ce n'est pas parce qu'il y a plus ou moins de failles dans une catégorie que cela affecte (en nombre ou en importance) les autres.

Le dernier paragraphe est très pertinent, j'ai bien aimé "les constructeurs préfèrent juste investir dans des assurances pour couvrir les dommages attendus car payer ces assurances pour parfois indemniser les clients coute moins cher que de développer une support technique efficace", ça me rappelle le taff du personnage principal de "fight club" : il évalue si les couts de rappel de véhicules suite a des defauts seraient ou pas supérieurs aux frais de justices engendrés par des accidents imputables a ces défauts.

C'est un problème d'ordre général et pas uniquement lié à l'informatique
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme