FRFAM.COM >> Famille >> Technologie &Innovation >> Informatique

De nouvelles vulnérabilités illustrent encore plus de lacunes de Windows 10

Windows est toujours l'un des systèmes d'exploitation les plus populaires au monde. Il alimente des milliards d'ordinateurs à travers le monde. Windows est devenu synonyme d'informatique. La domination de Microsoft et de Windows en fait une cible constante. Et bien que Windows 10 soit leur système d'exploitation le plus sécurisé à ce jour, il présente encore de nombreuses vulnérabilités.

Les vulnérabilités ne sont pas petites non plus. L'attaque DoubleAgent peut détourner chaque version de Windows, désactivant les programmes antivirus dans le processus. De plus, Microsoft Edge est une cible massive pour les pirates. Pas tout à fait au même niveau qu'Internet Explorer -- ce serait scandaleux -- mais néanmoins à des niveaux inquiétants.

Les produits Microsoft sont encore régulièrement exploités. Malgré le renforcement de la sécurité de Windows 10, il reste une cible majeure. Considérons ce qui s'est passé et pourquoi.

DoubleAgent

En mars 2017, des chercheurs en sécurité de Cybellum ont annoncé la découverte d'un nouvel exploit Windows zero-day. L'équipe de recherche israélienne a confirmé que l'attaque, nommée DoubleAgent, peut "attaquer directement et détourner le contrôle de l'antivirus". DoubleAgent exploite une fonctionnalité relativement inconnue présente sur toutes les versions de Windows de XP à Windows 10.

DoubleAgent exploite Microsoft Application Viewer, un outil de vérification d'exécution utilisé pour découvrir et corriger les bogues dans les applications. Les chercheurs ont découvert une capacité non documentée qui permet à un attaquant de remplacer le vérificateur standard par un vérificateur personnalisé. Une fois le vérificateur personnalisé en place, l'attaquant peut "injecter n'importe quelle DLL dans n'importe quel processus". Cela se produit très tôt lors du "démarrage du processus de la victime, donnant à l'attaquant un contrôle total sur le processus et aucun moyen pour le processus de se protéger".

L'Application Viewer est conçu pour renforcer la sécurité des applications en vérifiant et en corrigeant les bogues. Ironiquement, il fait le contraire, gagnant le nom de DoubleAgent dans le processus.

Antivirus utilisé contre vous

Une attaque qui peut prendre le contrôle de votre antivirus est significative. Les attaques qui désactivent les logiciels antivirus et antimalware sont courantes, mais le renversement complet des rôles est une révélation. En utilisant DoubleAgent, un acteur malveillant peut :

  1. Transformez l'antivirus en malware -- Les logiciels antivirus fonctionnent à partir d'une position privilégiée sur votre ordinateur. Comme il s'agit d'une opération hautement fiable, l'antivirus peut tout voir et tout faire. Par conséquent, toute activité malveillante est considérée comme légitime et l'attaquant peut contourner n'importe quelle sécurité.
  2. Modifier le comportement de l'antivirus -- L'attaquant a libre cours pour modifier les listes blanches, les listes noires, ouvrir des ports, modifier les pare-feu et bien plus encore. En désactivant l'antivirus, des portes dérobées pourraient facilement être installées.
  3. Destruction -- L'acteur malveillant peut simplement détruire le système, selon la raison de l'attaque. Sans antivirus pour arrêter certaines actions, le stockage local pourrait être crypté ou formaté.

De plus, un accès illimité à l'ensemble du système via l'antivirus pourrait entraîner le vol de données privées et/ou sensibles.

Et maintenant ?

Cybellum affirme que le seul produit antivirus capable de défendre DoubleAgent est Windows Defender. Windows Defender est le seul produit antivirus utilisant le mécanisme Windows Protected Processes, une technique de protection au niveau du noyau spécialement conçue pour atténuer les attaques de ce type.

À l'inverse, Avast CTO Ondrej Vlcek a déclaré que Cybellum avait alerté son entreprise de la vulnérabilité l'année dernière. En tant que tel, la vulnérabilité n'est plus un problème. Norton Security a raconté à ZDNet une histoire similaire :après avoir enquêté sur le problème, ils n'ont trouvé aucune vulnérabilité causée par l'attaque de preuve de concept (malgré la vidéo créée par Cybellum attaquant leur produit).

Néanmoins, ils ont mis en place des techniques de détection et de blocage supplémentaires.

Microsoft Edge chez Pwn2Own

Pwn2Own est un concours de piratage annuel organisé lors de la conférence sur la sécurité CanSecWest. L'édition 2017 a marqué le 10e anniversaire du concours et un énorme fonds de 1 000 000 $. Les objectifs changent chaque année, mais sont généralement un mélange de navigateurs et d'autres logiciels courants.

Microsoft a introduit un tout nouveau navigateur avec Windows 10. Edge a été en grande partie créé à partir de zéro pour éviter de s'appuyer sur les vulnérabilités d'antan, trouvées dans les anciennes versions d'Internet Explorer. Microsoft avait besoin d'un navigateur pour concurrencer directement Chrome et Firefox. Dans certaines régions, cela a réussi. Dans d'autres, il est encore à la traîne...

Le Pwn2Own 2017 a vu Microsoft Edge piraté "pas moins de cinq fois". Vous voulez la bonne nouvelle ? Ces hacks sont complétés par des hackers professionnels hautement qualifiés. Un hack, réalisé par une équipe de "360 Security", a exploité un bogue de débordement de tas dans Microsoft Edge, une confusion de type dans le noyau Windows réel et un tampon non initialisé dans VM Workstation, échappant à une machine virtuelle.

En d'autres termes, ils ont effectué trois hacks avancés distincts pour accéder au système d'exploitation hôte. Leurs efforts leur ont rapporté 105 000 $.

D'autres hacks sont disponibles

Il y a eu quatre autres hacks réussis contre ou utilisant Microsoft Edge. L'accent mis par Pwn2Own sur Microsoft Edge est révélateur et inquiétant. Microsoft a construit un nouveau navigateur à partir de zéro pour éliminer bon nombre des anciennes insécurités qui ont ridiculisé IE. Malheureusement, il semble que Microsoft Edge soit également sensible.

Soit dit en passant, Google Chrome était impossible à pirater.

Pourquoi Microsoft ? Pourquoi Windows ?

Microsoft prend-il plus de critiques qu'il ne le mérite vraiment ?

À mon avis, Microsoft fonctionne à peu près à égalité. Le monde de l'informatique adore s'empiler sur Microsoft pour chaque vulnérabilité trouvée. Et à juste titre. En tant qu'entreprise détenant la plus grande part de marché, Microsoft a l'énorme responsabilité de protéger les utilisateurs, qu'ils soient particuliers, professionnels ou professionnels, contre le vaste monde du piratage et de la cybercriminalité.

Cependant, aussi robuste que nous voudrions que Windows soit, les pirates vont pirater. Et comme l'illustre la découverte zero-day DoubleAgent de Cybellum, il y a toujours des vecteurs d'attaque inattendus qui attendent d'être découverts. Windows est à code source fermé. Microsoft garde son code source secret - c'est compréhensible. Il existe des problèmes inhérents à tout logiciel propriétaire. La litanie de bugs, de vulnérabilités et d'exploits zero-day en est un symptôme direct.

Microsoft Windows reste extrêmement populaire. Il est accessible, familier pour beaucoup et préinstallé sur des millions d'ordinateurs. Microsoft comprend clairement le besoin de sécurité. Windows 10 est beaucoup plus sécurisé que les versions précédentes de Windows. Microsoft Edge évolue dans la bonne direction, bien que lentement. Mais les vulnérabilités dignes d'intérêt, telles que le zero-day vieux d'un an qui vient tout juste d'être corrigé, continueront de provoquer une alarme compréhensible dans l'ensemble du monde de la cybersécurité.

Malgré la sécurité améliorée de Windows 10, vous devriez toujours exécuter une application antivirus compétente ou une suite de sécurité en ligne complète.

Vous sentez-vous en sécurité avec Windows ? Comment amélioreriez-vous la sécurité de Windows ? Microsoft en fait-il assez pour protéger les utilisateurs ? Faites-nous part de vos réflexions ci-dessous !

Crédit image :a-image via Shutterstock.com


[]