Microsoft a révélé une nouvelle vulnérabilité d’exécution de code à distance qui se trouve dans toutes les versions de Windows prises en charge et qui est actuellement exploitée dans le cadre d’« attaques ciblées et limitées ». Dans son communiqué de lundi, la société a mis en garde contre cette faille critique de type “Zero-day” dans son système d’exploitation Windows, qui peut exécuter du code malveillant sur des systèmes entièrement mis à jour. Un pirate informatique qui réussit une attaque peut exécuter à distance du code ou un logiciel malveillant sur l’appareil de la victime. Il n’y a pas de patch disponible pour le moment, mais Microsoft a dit ce qu’il faut faire en attendant qu’il en publie un.
La faille concerne la bibliothèque Adobe Type Manager, un fichier DLL Windows qu’une grande variété d’applications utilisent pour gérer et rendre les polices disponibles sur les systèmes Adobe. Selon Microsoft, deux vulnérabilités d’exécution de code à distance existent dans la manière dont la bibliothèque Adobe Type Manager de Windows gère certaines polices. Plus précisément, la faille existe parce que la version Windows d’Adobe Type Manager Library ne gère pas correctement des master fonts, des polices spécialement conçues au format Adobe Type 1 Postscript. Bien qu’aucun correctif ne soit disponible pour ces failles, des mesures de contournement peuvent protéger les utilisateurs.
« Microsoft est conscient des attaques limitées et ciblées qui tentent d’exploiter cette vulnérabilité », a averti l’avis de lundi. Microsoft a également dit dans son communiqué que « Pour les systèmes exécutant des versions supportées de Windows 10, une attaque réussie ne pourrait aboutir qu’à l’exécution de code dans un contexte de sandbox AppContainer avec des privilèges et des capacités limités ».
Selon Microsoft, « il existe de multiples façons pour un pirate informatique d’exploiter la vulnérabilité, comme par exemple convaincre un utilisateur d’ouvrir un document spécialement conçu ou le visualiser dans le volet d’aperçu de Windows ». Le panneau de prévisualisation de Windows est utilisé par l’application de gestion de fichiers de l’explorateur de Windows (qui est appelé Explorateur de fichiers dans Windows 10) pour prévisualiser des images, des vidéos et d’autres contenus. La vulnérabilité a un niveau de gravité “critique”, qui est le plus haut niveau de l’entreprise.
Toutes les versions de Windows actuellement supportées sont concernées, y compris Windows 10, ainsi que les versions de Windows 7, Windows 8.1, Windows RT, Windows Server 2008, Windows Server 2012, Windows Server 2016 et Windows Server 2019 (une liste complète des versions concernées se trouve dans le communiqué de Microsoft). Windows 7 est également concerné, bien qu’il soit arrivé en fin de support, a déclaré Microsoft.
Il n’existe pas actuellement de correctif pour corriger la faille, bien que l’avis de Microsoft indique que les mises à jour visant à remédier aux vulnérabilités de sécurité sont généralement publiées dans le cadre de la mise à jour du mardi. Cela signifie qu’en théorie, le prochain Update Tuesday est prévu pour le 14 avril, mais en ce qui concerne la faille, la société n’a pas donné de date précise pour la publication d’un correctif.
« Les mises à jour qui traitent des vulnérabilités de sécurité dans les logiciels Microsoft sont généralement publiées le mardi des mises à jour, le deuxième mardi de chaque mois », selon Microsoft. « Ce calendrier prévisible permet l’assurance de la qualité des partenaires et la planification informatique, ce qui contribue à maintenir l’écosystème Windows comme un choix fiable et sûr pour nos clients ».
Microsoft n’a pas dit non plus si les exploits sont des charges utiles malveillantes ou s’ils sont simplement une tentative. L’avis de Microsoft ne fait pas non plus référence au volume ou à la localisation géographique des exploits. Mais la société a fourni des « conseils pour aider à réduire les risques pour les clients jusqu’à la publication de la mise à jour de sécurité ».
Solutions de contournement des exploits
Bien qu’aucun correctif ne soit encore disponible, Microsoft a recommandé une série de mesures d’atténuation et de contournement. Cela inclut la désactivation du volet de prévisualisation et du volet de détails dans Windows. Le blocage de ces fonctions signifierait que l’explorateur Windows (ou l’explorateur de fichiers dans Windows 10) n’affichera pas automatiquement les polices OpenType.
« La désactivation des volets Aperçu et Détails dans l’Explorateur Windows empêche l’affichage automatique des polices OTF dans l’Explorateur Windows », a déclaré Microsoft. « Bien que cela empêche l’affichage de fichiers malveillants dans l’Explorateur Windows, cela n’empêche pas un utilisateur local authentifié d’exécuter un programme spécialement conçu pour exploiter cette vulnérabilité », a-t-il ajouté.
Une seconde solution possible est la désactivation du service WebClient. Microsoft a déclaré que la désactivation de ce service bloque le service client WebDAV (Web Distributed Authoring and Versioning), qui est un « vecteur probable d’attaque à distance ». WebDAV est une extension HTTP qui permet aux clients d’effectuer des opérations de création de contenu Web à distance.
« Après avoir appliqué cette solution de contournement, il est toujours possible pour les attaquants distants qui exploitent avec succès cette vulnérabilité de faire exécuter par le système des programmes situés sur l’ordinateur de l’utilisateur ciblé ou sur le réseau local (LAN), mais les utilisateurs seront invités à confirmer leur choix avant d’ouvrir des programmes arbitraires depuis Internet », a déclaré Microsoft.
Une autre solution consiste à renommer ATMFD.DLL (le nom de fichier du pilote de police Adobe Type Manager), a déclaré Microsoft. Selon Microsoft, le changement de nom de ce fichier causera des problèmes d’affichage pour les applications qui dépendent de polices intégrées et pourrait entraîner l’arrêt du fonctionnement de certaines applications si elles utilisent des polices OpenType. Microsoft a également averti que les erreurs de modification du registre de Windows – comme l’exige une variante du troisième palliatif – peuvent causer de graves problèmes qui peuvent nécessiter la réinstallation complète de Windows.
Bien que l’avis de lundi fournisse des instructions détaillées pour activer et désactiver les trois solutions de contournement, les utilisateurs de Windows ne devraient envisager suivre une ou plusieurs des solutions de contournement qu’après avoir considéré les risques et les avantages potentiels de le faire. Toutefois, « Microsoft est conscient de cette vulnérabilité et travaille sur un correctif », lit-on dans le communiqué. Mais avant, les utilisateurs devraient suivre les mises à jour du communiqué de Microsoft, faire attention aux demandes suspectes de consultation de documents non fiables et installer un correctif dès qu’il sera disponible.
Source : 01net, developpez