Connexion
Abonnez-vous

Une faille tout juste corrigée dans Windows déjà exploitée par un rançongiciel

Une faille tout juste corrigée dans Windows déjà exploitée par un rançongiciel

Le 16 mars 2023 à 06h15

Il y a deux jours, Microsoft a déployé le Patch Tuesday du mois de mars. Parmi les failles corrigées dans Windows, l’une d’elle est activement exploitée par un rançongiciel, avertit le Threat Analysis Group de Google.

Cette faille, estampillée CVE-2023-24880, réside dans les versions 10 et 11 de Windows. Quand le ransomware y arrive, il se présente sous la forme d’un fichier MSI dont la signature Authenticode est invalide, mais spécialement conçue pour exploiter la brèche.

Celle-ci se situe dans SmartScreen, composant important de la sécurité dans Windows et qui s’interpose entre un programme demandant à être exécuté et l’utilisateur. Face à la signature, SmartScreen renvoie une erreur, aboutissant au contournement de la défense par l’exécutable, ce dernier perdant alors sa Mark-of-the-Web (MotW), qui indique normalement qu’il vient du web.

Le ransomware est visiblement à pied d’œuvre depuis janvier. Google ajoute que son propre Safe Browsing, intégré dans Chrome, bloque ces fichiers dans 90 % des cas, donc pas systématiquement. Il est recommandé d’appliquer au plus vite les correctifs de sécurité de Windows, si ce n’est pas encore fait.

Le 16 mars 2023 à 06h15

Commentaires (7)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

J’ai relu plusieurs fois l’article mais je n’ai pas saisi le mécanisme de contournement opéré.




Celle-ci se situe dans SmartScreen, composant important de la sécurité dans Windows et qui s’interpose entre un programme demandant à être exécuté et l’utilisateur.


Donc ça ok, je vois très bien ce qu’est SmartScreen




Face à la signature, SmartScreen renvoie une erreur, aboutissant au contournement de la défense par l’exécutable, ce dernier perdant alors sa Mark-of-the-Web (MotW), qui indique normalement qu’il vient du web.


C’est ici que je décroche : SmartScreen renvoie une erreur donc contournement du mécanisme de sécurité. (censé empêcher l’exécution du fichier MSI j’imagine)

votre avatar

Gorom a dit:


C’est ici que je décroche : SmartScreen renvoie une erreur donc contournement du mécanisme de sécurité. (censé empêcher l’exécution du fichier MSI j’imagine)


Perso je comprends que l’erreur entraîne la perte du marqueur de zone Internet, le fichier étant donc automatiquement débloqué. C’est ce marqueur qui gère le bouton Débloquer :
https://textslashplain.com/2016/04/04/downloads-and-the-mark-of-the-web/



Par contre, sauf erreur, dans l’article en lien dans la brève je ne lis pas que le fichier perd le marquage, mais supprime simplement l’avertissement.



Edit: il y a deux CVE différents, d’où ma possible confusion.

votre avatar

(quote:2124642:Zone démilitarisée)
Edit: il y a deux CVE différents, d’où ma possible confusion.


En effet. C’est deux fois la même faille, mais c’est patché différemment.



CVE-2022-44698
=> Patch de Microsoft pour révoquer le certificat utilisé par le malware (Magniber).



CVE-2023-24880
=> patch de Microsoft pour corriger le problème dans SmartScreen.

votre avatar

(reply:2124642:Zone démilitarisée)


Merci pour les précisions :chinois:

votre avatar

Gorom a dit:


C’est ici que je décroche : SmartScreen renvoie une erreur donc contournement du mécanisme de sécurité. (censé empêcher l’exécution du fichier MSI j’imagine)


Selon le langage utilisé, si l’erreur envoie une “exception”, alors la suite des instructions de même niveau (par rapport à la fonction au dessus dans la stack) est annulée, il se peut aussi que tout le module soit interrompu. En effet le système sait que la fonction principale ne fera pas le résultat attendu. Normalement tout bon programme doit “intercepter” les “exceptions” mais en pratique c’est rarement le cas qu’elles soient toutes traitées.

votre avatar

Bah du coup le MSI n’est pas lancé ? Il est téléchargé et il faut aller l’ouvrir manuellement dans téléchargement ?

votre avatar

Si j’ai bien compris les explications de Google, si, il doit être lancé. La fonction qui aurait dû retourner un TRUE pour demander la confirmation à l’utilisateur retourne un FALSE suite à un traitement d’erreur (buggé) et il n’y a pas de demande de confirmation parce que le logiciel est considéré à tort comme sûr.

Une faille tout juste corrigée dans Windows déjà exploitée par un rançongiciel

Fermer