Un Microsoft a publié ce mardi (14) la correction d’une vulnérabilité grave trouvée dans Windows 10, Windows Server 2016 et Windows Server 2019 : elle peut être utilisée pour faire passer un malware pour un programme légitime. NSA (National Security Agency), qui a découvert le bogue, prévient que les conséquences de la non installation de la mise à jour “sont graves et généralisées”.
Pour l’éviter, il suffit de suivre le chemin Paramètres Mise à jour et sécurité et de cliquer sur le bouton Vérifier les mises à jour. Pour Windows 10, vous devez installer l’élément KB4528760, décrit comme “2020-01 Windows 10 Cumulative Update”.
La défaillance (CVE-2020-0601) se situe dans un composant de Windows lié à la cryptographie (crypt32.dll). En gros, un attaquant peut tromper le système en faisant croire que les logiciels malveillants proviennent d’une source légitime et fiable.
Cela est possible car la faille permet d’utiliser un faux certificat pour signer un fichier exécutable malveillant. “L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant car la signature numérique semble appartenir à un fournisseur de confiance”, explique Microsoft.
Après avoir piraté le PC, le pirate serait en mesure de décrypter vos données sensibles, y compris les connexions internet HTTPS et les fichiers locaux cryptés avec signature numérique.
La NSA révèle pour la première fois une défaillance de Windows
Dans une déclaration, la NSA affirme que l’échec est grave et que “les conséquences de ne pas corriger la vulnérabilité sont graves et étendues” car les pirates découvriront bientôt comment cela fonctionne. Microsoft affirme que cette faille n’a pas encore été utilisée publiquement. “L’adoption rapide du patch est la seule atténuation connue à l’heure actuelle et devrait être le principal objectif”, déclare l’agence.
C’est la première fois que la NSA signale publiquement qu’elle a découvert un bogue dans Windows. L’agence a déjà rencontré plusieurs vulnérabilités auparavant, lorsque la pratique consistait à les rassembler pour espionner leurs cibles. L’un de ses outils, EternalBlue, a fait l’objet d’une fuite par des pirates informatiques russes et a donné naissance aux logiciels de rançon WannaCry et Petya/NotPetya.
Aujourd’hui, la NSA adopte une initiative appelée “Turn a New Leaf”, selon l’expert en cybersécurité Brian Krebs : elle prévoit de proposer ses recherches sur la vulnérabilité aux principaux développeurs de logiciels et au grand public.
