Le nouveau piratage de mot de passe Microsoft utilise les thèmes Windows 0-Day
Même si cela peut être le cas, Microsoft ne parvient pas toujours à mettre en place les bons correctifs de sécurité du premier coup. Parfois, des chercheurs externes cherchant à corriger une vulnérabilité en trouvent une autre qui ressort de l’analyse. C’est ce qui s’est produit ici, lorsque les chercheurs en sécurité du spécialiste de la gestion des correctifs 0patch ont développé un micropatch tiers pour une vulnérabilité de sécurité Windows qui contournait une autre vulnérabilité Windows déjà corrigée par Microsoft. Pendant le développement de ce patch pour un patch, êtes-vous toujours avec moi jusqu’à présent, les chercheurs sont tombés sur une autre vulnérabilité zero-day de Windows.
Comment les pirates ont corrigé une vulnérabilité Windows et en ont trouvé une autre qui usurpait des thèmes Windows pour voler des informations d’identification
Êtes-vous assis confortablement ? Bien, car cette histoire d’atténuation des menaces Windows se complique assez rapidement. L’histoire commence l’année dernière lorsqu’un chercheur d’Akamai appelé Tomer Peled a entrepris une analyse des fichiers de thème Windows et a découvert une vulnérabilité plutôt inquiétante. CVE-2024-21320 signifiait qu’un attaquant pouvait obtenir une fuite des informations d’identification de l’utilisateur de NT Lan Manager simplement en leur montrant un fichier de thème Windows malveillant. « Cela signifiait que le simple fait de voir un fichier de thème malveillant répertorié dans un dossier ou placé sur le bureau suffirait à divulguer les informations d’identification de l’utilisateur sans aucune action supplémentaire de l’utilisateur », a déclaré Mitja Kolsek, PDG d’ACROS Security et co-fondateur de 0patch.
0patch a commencé à développer des correctifs pour CVE-2024-21320 afin de couvrir les systèmes Windows qui ne reçoivent plus de mises à jour de sécurité. C’est là que les choses commencent à devenir un peu compliquées. Tomer Peled s’est rendu compte que le correctif Microsoft pour CVE-2024-21320 ne couvrait pas réellement toutes les options de fuite d’informations d’identification. Plus précisément, plusieurs méthodes ont été décrites par un autre chercheur, James Forshaw, en 2016 et s’appliquaient au nouveau correctif. Peled l’a signalé à Microsoft et une autre vulnérabilité a été attribuée : CVE-2024-38030.
C’est en corrigeant les micro-patchs 0patch existants pour CVE-2024-21320 que les chercheurs ont découvert un autre contournement qui fonctionnait toujours sur les versions de Windows jusqu’à la toute dernière version de Windows 11 24H2. « Au lieu de simplement corriger CVE-2024-38030 », a déclaré Kolsek, « nous avons créé un correctif plus général pour les fichiers de thème Windows qui couvrirait tous les chemins d’exécution menant à Windows envoyant une requête réseau à un hôte distant spécifié dans un fichier de thème sur une simple action. visionner le fichier.
Microsoft travaille sur un correctif, le micropatch Windows 0patch est déjà là et gratuit
Bien que Microsoft soit au courant du dernier problème découvert par les chercheurs d’ACROS Security et ait déclaré qu’il « prendra les mesures nécessaires pour aider à protéger les clients », un correctif pour corriger la vulnérabilité n’est pas encore disponible via la voie officielle de Windows Update. . « Nous avons signalé notre 0day à Microsoft et nous garderons les détails publics jusqu’à ce qu’ils aient corrigé leur correctif », a déclaré Kolsek. « Pendant ce temps, les utilisateurs de 0patch sont déjà protégés contre ce 0day avec notre micropatch. » Tu peux créer un compte gratuit et installez le correctif à partir de la page d’accueil de 0patch.