La vulnérabilité CVE-2020-1464 faisait partie du 120 failles de sécurité corrigées dans Patch d'août mardi. Cette vulnérabilité se distingue particulièrement car elle a été activement exposée dans des attaques malveillantes pendant au moins deux ans avant que Microsoft ne la corrige..
Qu'est-ce que CVE-2020-1464?
Selon la description officielle fournie par Microsoft, le problème est une vulnérabilité d'usurpation d'identité déclenchée par la mauvaise façon dont Windows valide les signatures de fichiers. Dans le cas d'un exploit réussi, l'attaquant pourrait contourner les fonctions de sécurité et charger des fichiers mal signés.
Le correctif publié dans le patch mardi de ce mois, corrige la façon dont Windows valide les signatures de fichiers.
Selon Brian Krebs, les attaques basées sur CVE-2020-1464 ont été observées pour la première fois il y a deux ans, En août 2018, lorsque plusieurs chercheurs ont contacté Microsoft pour les informer du problème. Cependant, il n’en est fait aucune mention dans l’avis de Microsoft, bien que la société ait reconnu que le bogue était activement exploité lors d'attaques.
Dans un article de blog dédié à la vulnérabilité, Brian Krebs partage ce qui suit:
Bernardo Quintero est le manager de VirusTotal, un service appartenant à Google qui analyse tous les fichiers soumis par rapport à des dizaines de services antivirus et affiche les résultats. Sur Jan. 15, 2019, Quintero a publié un article de blog décrivant comment Windows maintient la signature Authenticode valide après avoir ajouté du contenu à la fin des fichiers Windows Installer (ceux se terminant par .MSI) signé par n'importe quel développeur de logiciel.
Selon Quintero, cette vulnérabilité pourrait être très dangereuse si un attaquant devait utiliser pour cacher des fichiers Java malveillants (.bocal). Ce vecteur d'attaque a en fait été détecté dans un échantillon de malware partagé avec VirusTotal.
Cela signifie qu'un attaquant pourrait ajouter un JAR malveillant à un fichier MSI signé par une entreprise telle que Microsoft ou Google. Le fichier résultant pourrait alors être renommé avec l'extension .jar, ayant toujours une signature valide selon Microsoft Windows. Ce qui est assez curieux, c'est que Microsoft a reconnu les conclusions de Quintero mais a refusé de résoudre le problème lors de son premier signalement, visible par le chercheur message original de 2019.
Quintero n'est pas le seul chercheur à s'inquiéter de la vulnérabilité, alors que d'autres l'ont rapidement suivi avec des découvertes distinctes d'attaques de logiciels malveillants abusant du problème.
La question simple est de savoir pourquoi Microsoft a dû attendre deux ans avant de corriger correctement le CVE-2020-1464 activement exploité.
Ce n'est pas la première fois que Microsoft refuse de patcher un Zero-Day
Ce n'est pas le premier cas d'une telle ampleur, lorsque Microsoft a été trop réticent à résoudre les bogues critiques du jour zéro dans Windows. Jetez un œil aux histoires liées ci-dessous:
- Microsoft ne parvient pas à Patch Bug Zero-Day dans Windows SymCrypt (Juin 2019)
- Microsoft refuse de Patch Exploit Zero-Day dans Internet Explorer (Avril 2019)
- Deux à Edge et Internet Explorer Flaws Zero-Day Restent non corrigées (Avril 2019)
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: