Microsoft a procédé hier à l’envoi de la mise à jour de sécurité planifiée de mardi pour Windows. Cette mise à jour ne s’est pas faite comme d’habitude, elle incluait une correction d'un bogue potentiellement dangereux qui permettrait à un attaquant d'usurper un certificat, en le faisant croire qu'il provient d'une source fiable. En effet, la National Security Agency a signalé à Microsoft la vulnérabilité qui affecte Windows 10, Windows Server 2016, Windows Server 2019 et Windows Server version 1803, d’après un rapport de l’organisme gouvernemental.
« La NSA a découvert une vulnérabilité critique (CVE-2020-0601) affectant les fonctionnalités cryptographiques de Microsoft Windows. La vulnérabilité de validation de certificat permet à un attaquant de miner la façon dont Windows vérifie la confiance cryptographique et peut permettre l'exécution de code à distance. La vulnérabilité affecte Windows 10 et Windows Server 2016/2019 ainsi que les applications qui dépendent de Windows pour les fonctionnalités de confiance », lit-on dans le rapport du ministère de la Défense.
Comme écrit ci-dessus, la faille affectait le chiffrement des signatures numériques utilisées pour authentifier le contenu, y compris les logiciels ou les fichiers. Si elle était exploitée, cette faille pourrait permettre aux criminels d'envoyer du contenu malveillant avec de fausses signatures qui le font paraître sûr.
Le journaliste spécialiste en cybersécurité Brian Krebs a rapporté que la vulnérabilité en question réside dans un composant Windows connu sous le nom de crypt32.dll, un module Windows qui, selon Microsoft, gère « les fonctions de certificat et de messagerie cryptographique dans le CryptoAPI ». Le CryptoAPI de Microsoft fournit des services qui permettent aux développeurs de sécuriser les applications Windows à l'aide de la cryptographie, et comprend des fonctionnalités de chiffrement et de déchiffrement des données à l'aide de certificats numériques.
Selon le rapport du journaliste, une vulnérabilité critique de cette composante de Windows pourrait avoir des implications de sécurité très étendues pour un certain nombre de fonctions importantes de Windows, notamment l'authentification sur les ordinateurs de bureau et les serveurs Windows, la protection des données sensibles traitées par les navigateurs Internet Explorer/Edge de Microsoft, ainsi que par un certain nombre d'applications et d'outils tiers.
Une telle faille pourrait également être utilisée de manière abusive pour usurper la signature numérique liée à un logiciel spécifique. Ce qui est encore plus préoccupant, c’est que ce composant a été introduit dans Windows il y a plus de 20 ans - dans Windows NT 4.0. Par conséquent, toutes les versions de Windows sont probablement touchées (y compris Windows XP, qui n'est plus supporté par les correctifs de Microsoft), même si la NSA a limité l’impact de la vulnérabilité à Windows 10 et Windows Server 2016/2019.
Le géant du logiciel a qualifié la vulnérabilité d' "importante" plutôt que "critique" – le niveau le plus élevé qu'il utilise pour qualifier les failles de sécurité majeures –, parce la société dit qu'elle n'a pas vu d'exploitation active de la faille se propageant parmi les ordinateurs du monde réel, à l’exception des tests menés par la NSA dans un environnement de laboratoire.
Cependant, la NSA a mis en garde dans son rapport, et a suggéré qu'il s'agit d'une vulnérabilité majeure bien que Microsoft ne l'ait pas marquée comme critique. « La vulnérabilité met les terminaux Windows en danger pour un large éventail de vecteurs d'exploitation », a déclaré la NSA. L’agence a cité les connexions HTTPS, les fichiers et courriels signés et le code exécutable signé lancé en tant que processus en mode utilisateur comme des exemples où la validation de la confiance peut être impactée.
« La NSA évalue la vulnérabilité comme étant sévère et que des cyberacteurs sophistiqués comprendront très rapidement la faille sous-jacente et, si elle est exploitée, rendrait les plateformes mentionnées précédemment comme étant fondamentalement vulnérables », peut-on lire dans son rapport. L’agence a recommandé aux entreprises de la corriger immédiatement ou de donner la priorité aux systèmes qui hébergent des infrastructures critiques comme les contrôleurs de domaine, les serveurs VPN ou les serveurs DNS. D’autres chercheurs extérieurs à Microsoft, dont Tavis Ormandy de Google, ont également fait une évaluation beaucoup plus sévère de la vulnérabilité et ont invité les utilisateurs à appliquer rapidement des correctifs avant qu'une exploitation active n'apparaisse.
La mise à jour régulière de mardi comprenait le correctif du problème à l’intention des organisations qui utilisent Windows
Microsoft a mis en place mardi un important correctif de sécurité pour résoudre le problème découvert plus tôt par la NSA. Brian Krebs a rapporté, en citant des sources, que Microsoft avait discrètement expédié, avant mardi, un correctif pour le bogue aux branches de l'armée américaine et à d'autres clients/cibles de grande valeur qui gèrent l'infrastructure clé d'Internet. Les sources ont également dit que ces organisations ont été invitées à signer des accords les empêchant de divulguer les détails de la faille avant la date de mise à jour planifiée du mardi.
Mais dans une mise à jour du rapport de Krebsonsecurity, Microsoft a dit qu'il ne discute pas des détails des vulnérabilités signalées avant qu'une mise à jour ne soit disponible. La société a également déclaré qu'elle « ne publie pas de mises à jour prêtes pour la production avant la date prévue pour la mise à jour régulière de mardi ». « Par le biais de notre programme de validation des mises à jour de sécurité (SUVP), nous publions des versions anticipées de nos mises à jour à des fins de validation et de tests d'interopérabilité dans des environnements de laboratoire », a déclaré le fabricant de logiciels dans une déclaration écrite. « Les participants à ce programme sont contractuellement interdits d'appliquer la correction à tout système en dehors de ce but et ne peuvent pas l'appliquer à l'infrastructure de production ».
Jeff Jones, un directeur principal chez Microsoft, a toutefois déclaré mardi dans un communiqué rapporté par CNBC : « Les clients, qui ont déjà appliqué la mise à jour ou qui ont activé les mises à jour automatiques, sont déjà protégés. Comme toujours, nous encourageons les clients à installer toutes les mises à jour de sécurité dès que possible ». La NSA a refusé de dire quand elle a découvert la faille, et qu'elle attendrait que Microsoft publie un correctif pour celle-ci plus tard dans la journée du mardi avant de discuter plus en détail de la vulnérabilité.
Selon Reuters, le correctif de Microsoft marque la première fois que la NSA a publiquement revendiqué le mérite d'avoir provoqué une mise à jour de la sécurité des logiciels, bien que l'agence ait déclaré avoir alerté les entreprises dans le passé sur les défauts de leurs produits. La responsable de la NSA, Anne Neuberger, a déclaré que l'agence s'efforçait d'être plus transparente avec la communauté des chercheurs en sécurité de l'information. Lors d'un appel quelques minutes avant la mise en service du correctif, elle a déclaré aux journalistes qu’ « Une partie de l'établissement de la confiance consiste à montrer les données ».
Selon Reuters, la NSA est confrontée à un problème d'équilibre lorsqu'elle est confrontée à de telles vulnérabilités. L'agence a été critiquée après que ses cyberespions aient profité des vulnérabilités des produits Microsoft pour déployer des outils de piratage contre des adversaires et aient tenu la société dans l'ignorance pendant des années, a rapporté Reuters. Mais selon Krebs, ce signalement de la vulnérabilité fait partie d'une nouvelle initiative visant à rendre les recherches de l'agence disponibles aux fournisseurs de logiciels et au public.
Source : National Security Agency, Microsoft
Et vous ?
Qu’en pensez-vous ?
Que pensez-vous de la divulgation par la NSA de cette vulnérabilité à Microsoft ?
Selon le site krebsonsecurity, le signalement des failles de produits fait partie d'une nouvelle initiative de la NSA. Qu’en pensez-vous ?
Microsoft a classé la vulnérabilité comme de niveau "important" au lieu de "critique". Qu’en pensez-vous ?
Lire aussi
Microsoft : un bogue Windows "wormable" pourrait conduire à un autre WannaCry, les utilisateurs d'anciennes versions doivent appliquer le patch
La vulnérabilité BlueKeep est si sérieuse que même la NSA recommande l'application d'un patch à votre système d'exploitation, Windows
Un hacker exploite une vulnérabilité dans la fonctionnalité Live Tiles de Windows, pour introduire ses propres vignettes dans l'OS
SandboxEscaper, chercheuse en sécurité, publie des vulnérabilités de type zero-day, favorisant des augmentations de privilèges sur Windows
Microsoft corrige la vulnérabilité cryptographique critique
Découverte par la NSA dans Microsoft Windows
Microsoft corrige la vulnérabilité cryptographique critique
Découverte par la NSA dans Microsoft Windows
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !