Windows 10
Le système d'exploitation Microsoft Windows comporte deux vulnérabilités de sécurité qui sont exploitées par des auteurs de code malveillant. Les failles de sécurité nouvellement découvertes sont compatibles avec Remote Code Execution ou RCE, et elles existent dans la bibliothèque Adobe Type Manager. Le bogue de sécurité peut permettre aux exploiteurs d’accéder et de contrôler à distance les ordinateurs de la victime après avoir installé même les dernières mises à jour. Il est inquiétant de constater qu’aucun correctif n’est encore disponible.
Microsoft a admis qu'il existe deux vulnérabilités Windows zero-day qui peuvent exécuter du code malveillant sur des systèmes entièrement mis à jour. Les vulnérabilités ont été trouvées dans la bibliothèque Adobe Type Manager, qui est utilisée pour afficher le format PostScript Adobe Type 1 sous Windows. Microsoft a promis de développer un correctif pour atténuer le risque et corriger les exploits. Cependant, la société publiera les correctifs dans le cadre du prochain Patch Tuesday. Les utilisateurs du système d'exploitation Windows concernés, cependant, ont quelques solutions de contournement simples pour protéger leurs systèmes de ces deux nouvelles vulnérabilités RCE.
Microsoft met en garde contre les vulnérabilités Windows Code-Execution 0-Day avec un potentiel d'attaques ciblées limité:
Le nouvellement découvert Vulnérabilités RCE existent dans la bibliothèque Adobe Type Manager, un fichier DLL Windows utilisé par une grande variété d'applications pour gérer et rendre les polices disponibles auprès d'Adobe Systems. La vulnérabilité consiste en deux failles d'exécution de code qui peuvent être déclenchées par une mauvaise gestion des polices maîtres malicieusement conçues au format Adobe Type 1 Postscript. Pour réussir à attaquer l'ordinateur d'une victime, les attaquants ont simplement besoin de la cible pour ouvrir un document ou même prévisualiser celui-ci dans le volet de visualisation de Windows. Inutile d'ajouter, le document sera imbibé de code malveillant.
⚠️ ATTENTION!
Toutes les versions de #Microsoft Les systèmes d'exploitation Windows (7, 8.1, 10, Server 2008, 2012, 2016, 2019) contiennent 2 nouvelles vulnérabilités RCE de bibliothèque d'analyse de polices qui sont:
-CRITIQUE
—UNPATCHED
- Sous les attaques actives ZERO-DAYDétails ➤ https://t.co/PXfkKFY250 #la cyber-sécurité pic.twitter.com/USFNpCcQ5t
- The Hacker News (@TheHackersNews) 23 mars 2020
Microsoft a confirmé que les ordinateurs exécutant Windows 7 sont les plus vulnérables aux vulnérabilités de sécurité nouvellement découvertes. La société note que la vulnérabilité d'exécution de code à distance d'analyse des polices est utilisée dans des «attaques ciblées limitées» contre les systèmes Windows 7. Quant aux systèmes Windows 10, la portée des vulnérabilités est plutôt limitée, a indiqué l'avis :
«Un attaquant peut exploiter la vulnérabilité de plusieurs manières, par exemple en persuadant un utilisateur d'ouvrir un document spécialement conçu ou en le visualisant dans le volet de prévisualisation de Windows», a noté Microsoft. Bien qu'il n'y ait pas encore de correctif pour Windows 10, Windows 8.1 et Windows 7, la société explique que «pour les systèmes exécutant des versions prises en charge de Windows 10, une attaque réussie ne peut entraîner l'exécution de code que dans un contexte sandbox AppContainer avec des privilèges et des capacités limités.
https://twitter.com/BleepinComputer/status/1242520156296921089
Microsoft n’a pas fourni beaucoup de détails sur l’étendue de l’impact des failles de sécurité nouvellement découvertes. L'entreprise n'a pas indiqué si les exploits exécutaient avec succès des charges utiles malveillantes ou tentaient simplement de le faire.
Comment se protéger contre les nouvelles vulnérabilités RCE Windows 0-Day dans la bibliothèque Adobe Type Manager?
Microsoft n'a pas encore publié officiellement de correctif pour se protéger contre les vulnérabilités de sécurité RCE récemment découvertes. Les correctifs devraient arriver le mardi, probablement la semaine prochaine. D'ici là, Microsoft suggère d'utiliser une ou plusieurs des solutions de contournement suivantes:
- Désactivation du volet de visualisation et du volet de détails dans l'Explorateur Windows
- Désactivation du service WebClient
- Renommez ATMFD.DLL (sur les systèmes Windows 10 qui ont un fichier de ce nom) ou désactivez le fichier du registre
La première mesure empêchera l'Explorateur Windows d'afficher automatiquement les polices Open Type. Incidemment, cette mesure empêchera certains types d'attaques, mais elle n'empêchera pas un utilisateur local authentifié d'exécuter un programme spécialement conçu pour exploiter la vulnérabilité.
Les attaquants exploitent les failles non corrigées de Windows Zero Day, a déclaré Microsoft dans un avis de sécurité publié lundi. La société a déclaré que des «attaques ciblées limitées» pourraient exploiter deux vulnérabilités non corrigées de Remote Code Executive (RCE) dans Windows… https://t.co/JHjAgO4sSi via @InfoSecHotSpot pic.twitter.com/gAhLt46CGT
- Sean Harris (@InfoSecHotSpot) 24 mars 2020
La désactivation du service WebClient bloque le vecteur que les attaquants utiliseraient probablement pour mener des exploits à distance. Cette solution de contournement obligera les utilisateurs à être invités à confirmer avant d'ouvrir des programmes arbitraires à partir d'Internet. Néanmoins, il est toujours possible pour les attaquants d’exécuter des programmes situés sur l’ordinateur ou sur le réseau local de l’utilisateur ciblé.
La dernière solution de contournement suggérée est plutôt gênante car elle entraînera des problèmes d'affichage pour les applications qui reposent sur des polices intégrées et pourrait empêcher certaines applications de fonctionner si elles utilisent des polices OpenType.
Une vulnérabilité RCE affectant Windows a été découverte, Microsoft évaluant sa gravité comme critique. https://t.co/oA9cdxJMTW pic.twitter.com/TZP6nESJCN
- Neil Mitchell-Hunter (@polo_nmh) 24 mars 2020
Comme toujours, les utilisateurs du système d'exploitation Windows doivent être à l'affût des demandes suspectes de consultation de documents non approuvés. Microsoft a promis un correctif permanent, mais les utilisateurs doivent s'abstenir d'accéder ou d'ouvrir des documents provenant de sources non vérifiées ou non fiables.
Mots clés les fenêtres