Un zero-day de Windows activement exploité reçoit un correctif non officiel 

par admin
Vulnérabilité
4 minutes

Un correctif non officiel gratuit a été publié pour un zero-day activement exploité qui permet aux fichiers signés avec des signatures malformées de contourner les avertissements de sécurité Mark-of-the-Web dans Windows 10 et Windows 11.

Le week-end dernier,  le site BleepingComputer avait signalé  que les pirates utilisaient des fichiers JavaScript autonomes  pour installer le rançongiciel Magniber  sur les appareils des victimes.

Lorsqu’un utilisateur télécharge un fichier à partir d’Internet, Microsoft ajoute un indicateur Mark-of-the-Web au fichier, ce qui fait que le système d’exploitation affiche des avertissements de sécurité lorsque le fichier est lancé, comme illustré ci-dessous.

Ce qui a fait ressortir ces fichiers JavaScript Magniber, c’est que même s’ils contenaient un Mark-of-a-Web, Windows n’affichait aucun avertissement de sécurité lors de leur lancement.

Après avoir été analysé par  Will Dormann , analyste principal des vulnérabilités chez ANALYGENCE, il a découvert que les fichiers JavaScript étaient  signés numériquement  à l’aide d’une signature mal formée.

Lorsqu’un fichier malveillant avec l’une de ces signatures malformées est ouvert, au lieu d’être signalé par Microsoft SmartScreen et d’afficher un avertissement de sécurité, Windows autorise automatiquement l’exécution du programme.

Patch non officiel gratuit publié

Comme cette vulnérabilité zero-day est activement exploitée dans les attaques de ransomwares, le service de micro-correction 0patch a décidé de publier un correctif non officiel qui peut être utilisé jusqu’à ce que Microsoft publie une mise à jour de sécurité officielle.

Ce bogue est causé par l’incapacité de Windows SmartScreen à analyser la signature mal formée dans un fichier.

Lorsque SmartScreen ne peut pas analyser la signature, Windows autorise incorrectement le programme à s’exécuter au lieu d’afficher une erreur.

« La signature malformée découverte par Patrick et Will a amené SmartScreen.exe à lever une exception lorsque la signature n’a pas pu être analysée, ce qui a entraîné le retour d’une erreur par SmartScreen », explique Kolsek.

« Ce que nous savons maintenant signifie « Courir ». »

L’expert en Cybersecurité , Kolsek a averti que bien que leur correctif corrige la majorité des scénarios d’attaque, il pourrait également y avoir des situations qui contournent son correctif.

« Bien que notre correctif corrige la faille la plus évidente, son utilité dépend de l’application qui ouvre le fichier à l’aide de la fonction DoSafeOpenPromptForShellExe dans shdocvw.dll et non d’un autre mécanisme », prévient Kolsek.

« Nous ne connaissons pas un autre mécanisme de ce type dans Windows, mais il pourrait techniquement exister. »

Jusqu’à ce que Microsoft publie des mises à jour officielles pour corriger la faille, 0patch a développé des correctifs gratuits pour les versions Windows concernées suivantes :

  1. Windows 11 v21H2
  2. Windows 10 v21H2
  3. Windows 10 v21H1
  4. Windows 10 v20H2
  5. Windows 10 v2004
  6. Windows 10 v1909
  7. Windows 10 v1903
  8. Windows 10 v1809
  9. Windows 10 v1803
  10. Serveur Windows 2022
  11. Serveur Windows 2019 

Pour installer le micropatch sur votre appareil Windows, vous devrez  créer un compte 0patch gratuit  et installer son  agent .

Une fois l’agent installé, les correctifs seront appliqués automatiquement sans nécessiter de redémarrage du système s’il n’y a pas de stratégies de correctifs personnalisées pour le bloquer.

Vous pouvez voir les micropatchs Windows de 0patch en action dans la vidéo ci-dessous.

facebookPartager sur Facebook
TwitterTweet
FollowNous suivre
PinterestSauvegarde
CyberNews Vulnérabilité