Microsoft a récemment émis un avertissement aux utilisateurs de Windows pour qu’ils mettent à jour leurs systèmes car une nouvelle attaque zero-day a été repérée. Selon Techcrunch, l’attaque exploite une vulnérabilité dans le Windows Common Log File System (CLFS). Il permet aux attaquants d’obtenir un accès complet à un système non corrigé. Microsoft a découvert cette semaine 132 failles de sécurité dans toutes les gammes de produits, dont un total de six failles zero-day qui ont déjà été activement exploitées. Pour cette raison, les experts en sécurité de Windows conseillent aux utilisateurs de mettre à niveau leurs systèmes immédiatement.
Qu’est-ce qu’une attaque zero-day ?
Une attaque zero-day est un type de cyberattaque qui exploite une lacune dans l’application logicielle ou le système que personne ne connaît auparavant. Cette vulnérabilité est appelée zero-day car elle n’est pas connue de l’éditeur du logiciel et il n’existe aucun correctif disponible pour la corriger. Les attaques zero-day sont principalement dangereuses car elles peuvent être utilisées pour lancer des attaques ciblées contre des marques ou des personnes spécifiques.
Détails de l’attaque zero-day de Windows
L’attaque du jour zéro de Windows exploite une vulnérabilité dans le système de fichiers journaux Windows Common (CLFS). Ceci est utilisé pour gérer les fichiers journaux sur les systèmes Windows. La vulnérabilité permet aux attaquants d’obtenir un accès complet à un système qui n’a pas de correctif. Il peut ensuite être utilisé pour lancer une attaque de ransomware ou d’autres types de cyberattaques. Selon Kaspersky, une société russe de cybersécurité, l’attaque zero-day a été utilisée pour déployer le rançongiciel Nokoyawa. Ce rançongiciel cible les serveurs Windows appartenant à des marques de petite et moyenne taille au Moyen-Orient, en Amérique du Nord et en Asie.
Selon Forbes, l’un des jours zéro est un type d’exécution de code à distance. Un rapport officiel de Microsoft affirme que cette vulnérabilité a des liens avec RomCom, une équipe russe de cybercriminalité. Par ailleurs, Microsoft affirme que ce groupe travaille probablement avec l’intérêt des services de renseignement russes. Expert en risques de vulnérabilité Rapid7, Adam Barnett avertit que les attaques RomCom ciblent généralement un large éventail de victimes. Cependant, Microsoft a un nouveau correctif et la liste complète des vulnérabilités que le correctif gère se trouve dans son Guide de mise à jour de sécurité.
Microsoft affirme qu’il enquête sur « les retours d’une série de vulnérabilités d’exécution de code à distance affectant les produits Windows et Office ». Microsoft est au courant des attaques ciblées qui tentent d’exploiter ces vulnérabilités en utilisant des documents Microsoft Office spécialement conçus. Jetons un coup d’œil à certains des jours zéro importants auxquels l’entreprise a dû faire face.
CVE-2023-36884
Pour le moment, il n’y a pas de correctif pour CVE-2023-36884 et Microsoft l’a officiellement confirmé. Cependant, la société affirme qu’elle étudie la question. La société ajoute qu’elle « prendra les mesures appropriées pour aider à protéger nos clients » après avoir terminé avec la sonde.
Microsoft ne laissera pas longtemps un zero-day exploité dans l’espace public. Ainsi, une fois terminé avec la sonde, il n’attendra probablement pas le déploiement du Patch Tuesday du mois prochain. La société publiera également probablement le correctif en tant que mise à jour de sécurité hors bande. Pour l’instant, Microsoft a un article de blog qui propose une sorte de solution de contournement pour les utilisateurs. Si vous avez besoin de la solution temporaire, cliquez ici.
CVE-2023-32046
CVE-2023-32046 est une attaque zero-day qui affecte le Core MSHTML de Windows. Kev Breen, directeur de la recherche sur les cybermenaces d’Immersive Labs, a déclaré: « Cela ne se limite pas aux navigateurs – d’autres applications comme Office, Outlook et Skype utilisent également ce composant. » Breen ajoute
« Cette vulnérabilité serait probablement utilisée comme vecteur initial d’infection. Cela permet à l’attaquant d’obtenir l’exécution de code dans le contexte où l’utilisateur clique sur le lien ou ouvre le document. »
CVE-2023-36874
Cette vulnérabilité zero-day attaque principalement le service de rapport d’erreurs Windows (WER). Si l’attaquant réussit, il aura un accès administrateur ainsi que des privilèges sur le système. Le personnel de sécurité des produits Automox, Tom Bowyer, a déclaré : « Le service WER est une fonctionnalité des systèmes d’exploitation Microsoft Windows qui collecte et envoie des retours d’erreurs à Microsoft lorsque certains logiciels se bloquent ou rencontrent d’autres types d’erreurs »,
Bowyer ajoute
« Ce problème zero-day est activement exploité… donc si WER est utilisé par votre organisation, nous vous recommandons de corriger dans les 24 heures. »
CVE-2023-32049
« Le CVE est considéré comme important, mais Microsoft a confirmé des retours d’exploitation de ce problème augmentant l’urgence à test »,
Comment protéger votre système contre les attaques zero-day
Pour se protéger contre cette attaque zero-day, les utilisateurs de Windows doivent appliquer le correctif Microsoft dès que possible. Des experts en sécurité comme Kev Breen ont émis un avertissement fort selon lequel les utilisateurs doivent mettre à jour leurs systèmes immédiatement. Il avertit par ailleurs « Avec 5 CVE activement exploités dans la nature et un test pour les techniques d’attaquant également exploitées dans la nature, ce n’est pas un mois à attendre pour les correctifs ». Il demande aux utilisateurs de faire de ces correctifs une priorité afin de protéger leurs appareils.
Derniers mots
Les attaques zero-day sont une menace sérieuse pour les marques et les personnes et les utilisateurs de Windows doivent être prudents. Security Week affirme que cette année, il y a eu au moins 19 attaques zero-day dans la nature. Microsoft a corrigé plusieurs problèmes du jour zéro au cours des derniers mois. Il est donc bon que les utilisateurs mettent à jour leur système de temps en temps afin de les protéger de l’exposition.
Actualité mobile et vidéo du moment
