Microsoft a publié un correctif de sécurité pour remédier à une grave vulnérabilité du système d'exploitation Windows qui, en cas d'abus, pourrait permettre aux attaquants de faire apparaître des logiciels malveillants comme s'il s'agissait d'un code provenant d'une source légitime.

La vulnérabilité, qui est corrigée dans le cadre du déploiement de Patch Tuesday de ce mois-ci, affecte un composant cryptographique clé de Windows 10, Windows Server 2019 et Windows Server 2016. La faille a été découverte par l'Agence de Sécurité Nationale (NSA) des Etats-Unis, qui, pour la première fois, est maintenant officiellement créditée de la découverte d'une vulnérabilité logicielle.

Indexé sous le numéro CVE-2020-0601, le bogue réside « dans la manière dont Windows CryptoAPI (Crypt32.dll) valide les certificats de cryptographie sur courbe elliptique (ECC) », souligne l'avis de sécurité de Microsoft. Le module Crypt32.dll est responsable de nombreuses fonctions de certificat et de messagerie cryptographique dans la CryptoAPI.

« Un attaquant pourrait exploiter la vulnérabilité en utilisant un certificat de signature de code usurpé pour signer un exécutable malveillant, faisant croire que le fichier provient d'une source fiable et légitime », a déclaré Microsoft.

En d'autres mots, un acteur de la menace pourrait amener les victimes à installer un logiciel malveillant en le faisant passer, par exemple, pour une mise à jour logicielle légitime, y compris de la part de Microsoft elle-même, alors que les cibles n'en seraient pas plus avisées.

« L'utilisateur n'aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semblerait provenir d'un fournisseur de confiance », explique le géant de la technologie.

« Un exploit réussi pourrait également permettre à l'attaquant de mener des attaques de type "man-in-the-middle" et de déchiffrer des informations confidentielles sur les connexions de l'utilisateur au logiciel concerné », poursuit l'entreprise.

« Sévère et généralisée »

Quelques heures avant l'annonce officielle, des rumeurs ont commencé à circuler selon lesquelles ce ne serait pas un lancement typique de Patch Tuesday. En effet, la nervosité s’est emparée de plusieurs membres de la communauté de la sécurité, après que l’ex-journaliste en cybersécurité Brian Krebs ait révélé l'ampleur du problème :

« Une vulnérabilité de sécurité extraordinairement sérieuse », décrivait Krebs lundi soir. Le gouvernement américain, l'armée et plusieurs entreprises très en vue auraient reçu un préavis et des correctifs pour corriger la faille.

La gravité de la situation a finalement suscité une série de communications officielles de la part des autorités américaines. Il s'agissait notamment d'une alerte de la Cybersecurity and Infrastructure Security Agency (CISA), d'une directive d'urgence en provenance du Department of Homeland Security (DHS) demandant un correctif accéléré pour toutes les entités fédérales, et d'un avis provenant directement de la NSA.

« Les conséquences de l'absence de correctifs sont graves et étendues. Les outils d'exploitation à distance seront probablement mis à disposition rapidement et à grande échelle. L'adoption rapide du correctif est la seule atténuation connue à l'heure actuelle et devrait être le principal objectif de tous les propriétaires de réseaux », déclare l'agence de renseignement. Ni la NSA ni Microsoft n’ont eu vent d’une utilisation de cette vulnérabilité dans la nature (in the wild).

Windows 7, dont la fin de vie officielle a eu lieu ce lundi, Windows 8 et d'autres systèmes Windows ne sont pas affectés par la vulnérabilité.

Le pack Patch Tuesday de ce mois-ci contient des correctifs pour un total de 49 vulnérabilités, qui sont quasiment résumées dans ce tableau du SANS Technology Institute. Deux failles critiques de la passerelle pour bureau distant Windows (RD Gateway), CVE-2020-0609 et CVE-2020-0610, se distinguent, car elles permettent à des attaquants distants non authentifiés d'exécuter du code arbitraire sur le système ciblé.