Une faille de sécurité sur le chemin Microsoft Windows protège les utilisateurs contre les fichiers malveillants a été activement exploité dans des attaques de logiciels malveillants pendant deux ans avant la semaine dernière, lorsque Microsoft a finalement publié une mise à jour logicielle pour corriger le problème.
L’une des 120 failles de sécurité corrigées par Microsoft lors du Patch Tuesday du 11 août était CVE-2020-1464un problème avec la façon dont chaque version prise en charge de Windows valide les signatures numériques pour les programmes informatiques.
Signature de code est la méthode d’utilisation d’une signature numérique basée sur un certificat pour signer des fichiers exécutables et des scripts afin de vérifier l’identité de l’auteur et de s’assurer que le code n’a pas été modifié ou corrompu depuis qu’il a été signé par l’auteur.
Microsoft a déclaré qu’un attaquant pourrait utiliser cette « vulnérabilité d’usurpation » pour contourner les fonctions de sécurité destinées à empêcher le chargement de fichiers mal signés. L’avis de Microsoft ne fait aucune mention du fait que des chercheurs en sécurité aient informé l’entreprise de la faille, dont Microsoft a reconnu qu’elle était activement exploitée.
En fait, CVE-2020-1464 a été repéré pour la première fois dans des attaques utilisées dans la nature en août 2018. Et plusieurs chercheurs ont informé Microsoft de la faiblesse au cours des 18 derniers mois.
Bernardo Quintero est le gérant de VirusTotal, un service appartenant à Google qui analyse tous les fichiers soumis par rapport à des dizaines de services antivirus et affiche les résultats. Le 15 janvier 2019, Quintero a publié un article de blog décrivant comment Windows maintient la signature Authenticode valide après avoir ajouté tout contenu à la fin des fichiers Windows Installer (ceux se terminant par .MSI) signés par n’importe quel développeur de logiciel.
Quintero a déclaré que cette faiblesse serait particulièrement aiguë si un attaquant devait l’utiliser pour cacher un programme malveillant Java fichier (.jar). Et, a-t-il dit, ce vecteur d’attaque exact a en effet été détecté dans un échantillon de logiciel malveillant envoyé à VirusTotal.
« En bref, un attaquant peut ajouter un JAR malveillant à un fichier MSI signé par un développeur de logiciels de confiance (comme Microsoft Corporation, Google Inc. ou tout autre développeur bien connu), et le fichier résultant peut être renommé avec l’extension .jar et aura une signature valide selon Microsoft Windows », a écrit Quintero.
Mais selon Quintero, alors que l’équipe de sécurité de Microsoft a validé ses conclusions, la société a choisi de ne pas résoudre le problème à l’époque.
« Microsoft a décidé qu’il ne résoudrait pas ce problème dans les versions actuelles de Windows et a convenu que nous pouvions bloguer publiquement sur cette affaire et nos conclusions », a conclu son article de blog.
Tal Be’eryfondateur de Zengoet Peleg Hadarchercheur principal en sécurité chez Laboratoires SafeBreachécrit un article de blog dimanche qui pointait vers un fichier téléchargé sur VirusTotal en août 2018 qui abusait de la faiblesse d’usurpation d’identité, qui a été surnommée Boule de colle. La dernière fois que le fichier d’août 2018 a été analysé par VirusTotal (14 août 2020), il était détecté comme un cheval de Troie Java malveillant par 28 des 59 programmes antivirus.
Plus récemment, d’autres ont également attiré l’attention sur les logiciels malveillants qui abusaient de la faille de sécurité, notamment ce poste en juin 2020 du Sécurité en bits Blog.
Be’ery a déclaré que la façon dont Microsoft a géré le rapport de vulnérabilité semble plutôt étrange.
« Il était très clair pour toutes les personnes impliquées, y compris Microsoft, que GlueBall est en effet une vulnérabilité valide exploitée dans la nature », a-t-il écrit. « Par conséquent, on ne sait pas pourquoi il n’a été corrigé que maintenant et pas il y a deux ans. »
Invité à expliquer pourquoi il a attendu deux ans pour corriger une faille qui était activement exploitée pour compromettre la sécurité des ordinateurs Windows, Microsoft a esquivé la question, affirmant que les utilisateurs de Windows qui ont appliqué les dernières mises à jour de sécurité sont protégés contre cette attaque.
« Une mise à jour de sécurité a été publiée en août », a déclaré Microsoft dans une déclaration écrite envoyée à BreachTrace. « Les clients qui appliquent la mise à jour ou qui ont activé les mises à jour automatiques seront protégés. Nous continuons d’encourager les clients à activer les mises à jour automatiques pour s’assurer qu’ils sont protégés. »
Mise à jour, 00h45 HE : Attribution corrigée sur l’article de blog de juin 2020 sur les exploits de GlueBall dans la nature.