Windows : urgence pour une vulnérabilité dite follement mauvaise

Le par  |  6 commentaire(s)
peur

Grosse faille pour le moteur anti-malware de Windows qui peut être utilisé… pour installer des malwares. Après l'alerte de Project Zero de Google, Microsoft réagit presque dans la foulée.

Chercheur en sécurité membre de Project Zero de Google, Tavis Ormandy a annoncé dans le courant de ce week-end la découverte avec sa collègue Natalie Silvanovich d'un bug critique d'exécution de code à distance dans le système d'exploitation Windows. Le " pire de tous " parmi ceux récemment découverts et " follement mauvais. "

Selon ce hacker white hat prolifique connu pour plusieurs trouvailles retentissantes, un attaquant et une victime n'ont pas besoin d'être sur le même réseau local, et l'attaque fonctionne sur une installation de Windows par défaut. L'attaque peut en outre se répliquer d'elle-même comme un ver informatique.

La surprise est que - cette fois-ci - Microsoft vient de réagir promptement, bien avant la date butoir de divulgation publique (une politique de 90 jours après rapport). De quoi susciter les éloges de Tavis Ormandy.

Informée de ladite faille le 5 mai, la firme de Redmond a publié un avis de sécurité le 8 mai au sujet d'une vulnérabilité critique (CVE-2017-0290) qui existe lorsque son moteur de protection contre les logiciels malveillants (Microsoft Malware Protection Engine) n'analyse pas de manière correcte un fichier spécialement conçu, menant ainsi à une corruption de mémoire.

Les produits affectés sont Windows Defender, Microsoft Security Essentials, Windows Intune Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Forefront Security for SharePoint, Microsoft Endpoint Protection et Microsoft Forefront Endpoint Protection. Des protections qui sont notamment activées par défaut dans Windows 8, 8.1 et 10, ainsi que Windows Server 2012.

Même si Microsoft souligne une possibilité de code d'exploitation " peu fonctionnel ", le risque existe d'un accès par un attaquant au service de protection contre les malwares MsMpEng via l'envoi d'un email piégé (la lecture ou l'ouverture d'une pièce jointe ne sont pas nécessaires), la consultation de liens piégés dans le navigateur parmi d'autres vecteurs.

" Ce niveau d'accès est possible parce que MsMpEng utilise un minifiltre de système de fichiers pour intercepter et inspecter toute l'activité du système de fichiers. Ainsi, écrire des contenus contrôlés n'importe où sur le disque (caches, fichiers Internet temporaires, téléchargements (même non confirmés), pièces jointes…) est suffisant pour accéder à mpengine (ndlr : le principal composant de MsMpEng). "

Tavis Ormandy ajoute que les vulnérabilités dans MsMpEng sont parmi les plus graves dans Windows, eu égard aux privilèges, l'accessibilité et l'omniprésence de ce service. En clair, la recherche de code nuisible par le moteur antimalware pourrait être détournée afin d'exécuter et installer du code qu'il est censé combattre.

Windows-Defender

Pour une correction, Microsoft précise qu'aucune action n'est requise pour installer la mise à jour de Microsoft Malware Protection Engine. Le déploiement a été enclenché. Les plus soucieux peuvent cependant forcer une recherche manuelle des mises à jour via Windows Update. L'installation du patch se fait sans redémarrage. La version idoine du moteur de Windows Defender est 1.1.13704.0 ou plus.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1964217
Ah !?! Quand Microsoft réagit en 3 jours, c'est une faille, quand ça peut attendre le pack tuesday suivant, c'est une feature...
Le #1964221
OMG ! Ah ouais, là ca rigole pas niveau faille. Je fonce faire la mise à jour.
Le #1964225
l'antimalware qui sert de porte d'entrée pour coller des malware ...
Le #1964228
Bref, le meilleur moyen de se protéger, c'est encore et toujours de désactiver ces plaisanteries et de les remplacer par quelque chose de potable...
Le #1964230
Vulnérabilité ? c'est pas le second prénom de Windows depuis sa naissance ?
Le #1964296
On fait un ramdam avec des vulnérabilités dont la probabilité d'utilisation est infime. Par contre le contournement du mot passe de session avec "utilman" passe toujours

Allez, j'envoie la sauce pour ceux qui ne connaissent pas cette énormité :

https://lecrabeinfo.net/retrouver-un-mot-de-passe-oublie-ou-perdu-sur-windows.html#avec-windows-8-et-10

Amusez-vous
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]