Une nouvelle vulnérabilité puissante a ce qu'il faut pour bouleverser la sécurité de Windows sur des millions d'ordinateurs. La vulnérabilité n'a pas encore de nom officiel et un correctif existe déjà, mais les chercheurs avertissent les entreprises d'installer les derniers correctifs ou de faire face aux conséquences.
Le monde de la sécurité se souvient encore du chaos créé EternalBlue en 2017, lorsqu'une vulnérabilité découverte par la National Security Agency (NSA) a été utilisée par les tristement célèbres attaques WannaCry et NotPetya (parmi beaucoup d'autres) pour frapper les infrastructures numériques du monde entier.
Les chercheurs en sécurité tirent maintenant la sonnette d'alarme concernant une autre vulnérabilité puissante qui pourrait être encore plus dangereuse qu'EternalBlue si elle n'est pas corrigée.
La nouvelle vulnérabilité, dont le nom de code est CVE-2022-37958, fonctionne de la même manière qu'EternalBlue et peut être utilisée pour exécuter à distance du code malveillant sans avoir besoin d'authentification. Le bogue est également un "ver", ce qui signifie qu'il peut se répliquer pour infecter d'autres systèmes vulnérables. C'est précisément la raison pour laquelle WannaCry et d'autres attaques de 2017 ont pu se propager si rapidement.
Cependant, contrairement à EternalBlue, CVE-2022-37958 est encore plus dangereux car il ne se limite pas au protocole SMB (Server Message Block), car il fait partie du mécanisme SPNEGO Extended Negotiation. SPNEGO est utilisé par le logiciel client-serveur pour négocier le choix de la technologie de sécurité à utiliser.
Grâce à SPNEGO l'ordinateur client et le serveur Internet peuvent décider du protocole à utiliser pour l'authentification, en plus de SMB, les protocoles concernés incluent RDP, SMTP et HTTP. Le danger posé par CVE-2022-37958 est atténué par le fait que, contrairement à EternalBlue, une solution correcte est disponible depuis trois mois.
Microsoft correction du bug en septembre 2022 avec une mise à jour mensuelle du Patch Tuesday. À l'époque, les analystes de Redmond avaient qualifié ces failles de « significatives », considérant le problème comme une potentielle divulgation d'informations confidentielles et rien de plus. Après avoir examiné le code, les mêmes analystes ont attribué à CVE-2022-37958 une balise critique et un indice de gravité de 8.1, le même qu'EternalBlue.
Le fait qu'un correctif soit déjà disponible peut être plus un facteur aggravant que positif.
"Comme nous l'avons vu avec d'autres grandes vulnérabilités au fil des ans, telles que l'exploit MS17-010 dans EternalBlue", a déclaré Valentina Palmiotti, chercheuse en sécurité chez IBM, "certaines organisations tardent à déployer des correctifs au fil des mois ou n'ont pas d'inventaire précis. des systèmes Internet concernés, et ne corrigez pas du tout les systèmes. »
La menace est toujours là, tapie dans des millions de systèmes Windows depuis Windows 7.
Vous pouvez aider l'Ukraine à lutter contre les envahisseurs russes. La meilleure façon de le faire est de faire don de fonds aux forces armées ukrainiennes par le biais de Sauver la vie ou via la page officielle NBU.
Intéressant aussi :