IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Windows Discussion :

Windows : une faille zero-day affectant toutes les versions de Windows 2000 à Windows 10


Sujet :

Windows

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 942
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 942
    Points : 88 276
    Points
    88 276
    Billets dans le blog
    2
    Par défaut Windows : une faille zero-day affectant toutes les versions de Windows 2000 à Windows 10
    Windows : une faille zero-day supposée affecter toutes les versions de l'OS, de Windows 2000 à Windows 10
    est en vente à 90 000 dollars US

    Plus d’un milliard et demi d’utilisateurs seraient potentiellement exposés à une vulnérabilité zero-day qui affecte toutes les versions du système d’exploitation de bureau de Microsoft, de Windows 2000 à Windows 10, mais également les différentes versions de Windows Server. Le plus critique, c’est que même le dernier Patch Tuesday ne permettrait pas de corriger cette vulnérabilité. Des vidéos YouTube ont en effet montré qu’il est possible d’exploiter cette vulnérabilité sous un Windows qui a installé les dernières mises à jour de sécurité de Microsoft.

    La vulnérabilité qui devrait permettre à un attaquant d’avoir des privilèges niveau système sous Windows est vendue sur le net. La firme de sécurité Trustaware a découvert l’offre de vente sur un forum de hackers russe. Le prix était initialement fixé à 95 000 dollars US avant que le vendeur ne fasse un rabais de 5000 dollars.

    Le vendeur de cette faille caché sous le pseudonyme de BuggiCorp a posté deux vidéos sur le forum comme preuves de concept. Dans l’une d’entre elles, il escalade les privilèges d’une application sous un Windows 10 ayant installé les dernières mises à jour de sécurité de Microsoft. Et dans l’autre, il contourne toutes les fonctions de sécurité incluses dans la dernière version de l’outil de sécurité EMET (Enhanced Mitigation Experience Toolkit) de Microsoft.

    Il faut noter que l’outil EMET vise à empêcher l'exploitation des vulnérabilités logicielles en utilisant des technologies de réduction des risques pour la sécurité. Ces technologies fonctionnent comme des obstacles et des protections spéciales, que l'auteur d'une attaque doit mettre en échec pour pouvoir exploiter les vulnérabilités logicielles. Elles ne garantissent toutefois pas que des vulnérabilités ne puissent pas être exploitées, mais font en sorte que l'exploitation soit aussi difficile que possible.

    BuggiCorp dit vouloir vendre la faille zero-day à une seule personne et être payé en bitcoins. En plus du code source de l’exploit entre autres, l’acheteur aura droit à un service après-vente. Le vendeur envisage en effet de livrer des mises à jour futures gratuitement pour les versions de Windows sous lesquelles l’exploit ne pourra pas fonctionner. Il promet également à l’acheteur une assistance complémentaire pour l’intégration de l’exploit en fonction des besoins du client.

    Sans entrer en profondeur, BuggiCorp a tenté de fournir quelques détails techniques sur cette vulnérabilité qui ne serait pas encore connue de Microsoft. Mais de quelle faille s’agit-il donc pour qu’il puisse fixer le prix de 90 000 dollars US ?

    Quoi qu’il en soit, la faille ne peut pas être exploitée directement pour infecter la machine de la cible, mais peut ouvrir la porte à d’autres attaques.

    Certains experts en sécurité estiment donc que le prix est trop élevé pour une faille zero-day, même si la plateforme d’acquisition de vulnérabilités Zerodium a déjà payé un million de dollars US pour une faille sur iOS 9. Ils restent toutefois convaincus qu’elle pourrait intéresser quelqu’un et qu’elle finira par être achetée.

    Jeff Jones, un stratège en cybersécurité de Microsoft, a affirmé que la société était bien au courant de la discussion sur la vente de ladite faille zero-day, mais que les revendications postées par le vendeur n’étaient pas encore vérifiées. En ce qui concerne la possibilité que la faille soit achetée par Microsoft, il a souligné que la firme de Redmond paie déjà des primes pour les failles trouvées dans ses produits.

    Sources : Trustaware, Krebs on Security

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Microsoft lance l'alerte sur une nouvelle variante de ransomware baptisée Zcryptor, dotée d'une capacité d'autopropagation

  2. #2
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 522
    Points
    2 522
    Par défaut
    Microsoft peut verser $90.000 lui-même. C'est une sorte de bug bounty contraint et forcé, en fait...

  3. #3
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    Ça parait louche cette histoire, si ça se trouve le faille doit avoir des conditions d'exploitation très spéciales

Discussions similaires

  1. Réponses: 0
    Dernier message: 23/04/2015, 23h23
  2. Réponses: 3
    Dernier message: 16/03/2015, 08h58
  3. Réponses: 4
    Dernier message: 24/10/2014, 13h21
  4. Une faille zero day dans Flash Player menace Windows, Mac OS X et Linux
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 6
    Dernier message: 05/05/2014, 14h17
  5. Microsoft confirme une faille Zero-Day dans IE8
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 3
    Dernier message: 10/05/2013, 10h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo