Plus d’un milliard et demi d’utilisateurs seraient potentiellement exposés à une vulnérabilité zero-day qui affecte toutes les versions du système d’exploitation de bureau de Microsoft, de Windows 2000 à Windows 10, mais également les différentes versions de Windows Server. Le plus critique, c’est que même le dernier Patch Tuesday ne permettrait pas de corriger cette vulnérabilité. Des vidéos YouTube ont en effet montré qu’il est possible d’exploiter cette vulnérabilité sous un Windows qui a installé les dernières mises à jour de sécurité de Microsoft.La vulnérabilité qui devrait permettre à un attaquant d’avoir des privilèges niveau système sous Windows est vendue sur le net. La firme de sécurité Trustaware a découvert l’offre de vente sur un forum de hackers russe. Le prix était initialement fixé à 95 000 dollars US avant que le vendeur ne fasse un rabais de 5000 dollars.
Le vendeur de cette faille caché sous le pseudonyme de BuggiCorp a posté deux vidéos sur le forum comme preuves de concept. Dans l’une d’entre elles, il escalade les privilèges d’une application sous un Windows 10 ayant installé les dernières mises à jour de sécurité de Microsoft. Et dans l’autre, il contourne toutes les fonctions de sécurité incluses dans la dernière version de l’outil de sécurité EMET (Enhanced Mitigation Experience Toolkit) de Microsoft.
Il faut noter que l’outil EMET vise à empêcher l'exploitation des vulnérabilités logicielles en utilisant des technologies de réduction des risques pour la sécurité. Ces technologies fonctionnent comme des obstacles et des protections spéciales, que l'auteur d'une attaque doit mettre en échec pour pouvoir exploiter les vulnérabilités logicielles. Elles ne garantissent toutefois pas que des vulnérabilités ne puissent pas être exploitées, mais font en sorte que l'exploitation soit aussi difficile que possible.
BuggiCorp dit vouloir vendre la faille zero-day à une seule personne et être payé en bitcoins. En plus du code source de l’exploit entre autres, l’acheteur aura droit à un service après-vente. Le vendeur envisage en effet de livrer des mises à jour futures gratuitement pour les versions de Windows sous lesquelles l’exploit ne pourra pas fonctionner. Il promet également à l’acheteur une assistance complémentaire pour l’intégration de l’exploit en fonction des besoins du client.
Sans entrer en profondeur, BuggiCorp a tenté de fournir quelques détails techniques sur cette vulnérabilité qui ne serait pas encore connue de Microsoft. Mais de quelle faille s’agit-il donc pour qu’il puisse fixer le prix de 90 000 dollars US ?
Quoi qu’il en soit, la faille ne peut pas être exploitée directement pour infecter la machine de la cible, mais peut ouvrir la porte à d’autres attaques.
Certains experts en sécurité estiment donc que le prix est trop élevé pour une faille zero-day, même si la plateforme d’acquisition de vulnérabilités Zerodium a déjà payé un million de dollars US pour une faille sur iOS 9. Ils restent toutefois convaincus qu’elle pourrait intéresser quelqu’un et qu’elle finira par être achetée.
Jeff Jones, un stratège en cybersécurité de Microsoft, a affirmé que la société était bien au courant de la discussion sur la vente de ladite faille zero-day, mais que les revendications postées par le vendeur n’étaient pas encore vérifiées. En ce qui concerne la possibilité que la faille soit achetée par Microsoft, il a souligné que la firme de Redmond paie déjà des primes pour les failles trouvées dans ses produits.
Sources : Trustaware, Krebs on Security
Et vous ?
Qu’en pensez-vous ?Voir aussi :
Microsoft lance l'alerte sur une nouvelle variante de ransomware baptisée Zcryptor, dotée d'une capacité d'autopropagation 
