Le dernier Patch Tuesday corrige une sérieuse vulnérabilité dans Windows 10 et Windows Server. Un attaquant pourrait l’exploiter pour signer un fichier exécutable malveillant. La faille a été communiquée par la NSA, l’agence américaine de renseignement, qui n’a pas souhaité préciser la date de la découverte.
Il n’y a pas une minute à perdre pour installer la dernière mise à jour de Windows. Le Patch Tuesday de janvier corrige la vulnérabilité CVE-2020-0601, découverte par la NSA, l’agence américaine de renseignement. Touchant Windows 10 ainsi que Windows Server 2016 et 2019, cette faille est décrite comme très sérieuse par Microsoft et la communauté des chercheurs en cybersécurité.
Sur son blog Naked Security, la firme Sophos explique que la vulnérabilité affecte la CryptoAPI, partiellement implémentée dans un fichier Windows nommé crypt32.dll. Ce module permet aux programmeurs Windows d’ajouter des fonctionnalités de chiffrement dans leur logiciel. L’une des fonctions de la CryptoAPI est de vérifier et de valider les certificats numériques, garantissant que les services en ligne ou les fichiers à télécharger proviennent d’une source légitime. Un attaquant pourrait exploiter la vulnérabilité pour signer un fichier exécutable malveillant, en faisant croire que le fichier provient d’une source fiable et légitime, explique Microsoft. Un exploit réussi pourrait également permettre à l’attaquant de mener des attaques de type «man-in-the-middle» et de décrypter des informations confidentielles sur les connexions des utilisateurs au logiciel concerné. Microsoft précise n’avoir pas identifié d’exploitation de cette vulnérabilité CVE-2020-0601 dans des attaques actives.
C’est la première fois que la NSA reconnaît publiquement avoir renseigné Microsoft au sujet d’une faille de sécurité. «La NSA a contribué à résoudre ce problème en découvrant et en caractérisant la vulnérabilité, puis en communiquant avec Microsoft rapidement et de manière responsable», explique l’agence dans un communiqué. Interrogé par le journaliste Brian Krebs, spécialisé en cybersécurité, la NSA n’a pas souhaité préciser quand elle a découvert la faille. L’agence de renseignement est connue pour garder pour elle ce genre de découverte. «Il n’y a pas si longtemps, la NSA aurait simplement utilisé cet exploit pour ses propres objectifs offensifs», souligne la MIT Technology Review, selon qui l’agence aurait toutefois modifié sa stratégie au cours de la dernière décennie.