Des failles 0 Day dans Windows

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3469
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Des failles 0 Day dans Windows

Message par charles » 03 nov. 2016 08:20

Des failles 0 Day ont été découvertes récemment dans Windows, plus précisément dans son noyau, donc toutes les versions sont concernées.

1. Le CERT-FR de l'ANSSI a d'ailleurs publié une alerte sur le sujet hier après-midi :

http://www.cert.ssi.gouv.fr/site/CERTFR ... E-008.html

Cette première faille permet par le biais d'une faille de Flash Player, d'exploiter une faille Windows et d'effectuer une élévation de privilèges. La faille découverte par une des équipe de Google qui l'a annoncée publiquement avant sa correction qui devrait se faire dans les prochaines mises à jour Windows du 08/11/2016.

2. Plus inquiétant, une faille découverte par les chercheurs de la société Ensilo, qui risque de passer inaperçu pendant que tout le monde parle de la première.

Son fonctionnement est également assez inquiétant d'après les chercheurs car elle exploite une fonction native de Windows. Cet exploit appelé AtomBombing s'appuie sur les Atom Tables de Windows ce qui va être très compliqué à détecter par un anti malware et très compliqué à résoudre pour Microsoft selon les experts.

Plus d'infos ici : http://www.ghacks.net/2016/10/29/atombo ... s-exploit/

Avatar du membre
charles
Administrateur du site
Messages : 3469
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Des failles 0 Day dans Windows

Message par charles » 06 nov. 2016 21:33

Bitdefender détaille cette vulnérabilité sur son blog :
Les Atom Tables Windows sont responsables du stockage de chaînes de caractères et de leurs identifiants correspondants, de sorte que les applications ne peuvent échanger des informations entre elles que par l’intermédiaire de ce qui est appelé un atome - un nombre entier de 16 octets qui identifie uniquement une chaîne de caractères dans la table. Les applications reposent généralement sur ces Atom Tables pour partager des informations beaucoup plus rapidement entre elles, plutôt que d'interroger des chaînes de caractères longues.


Par exemple, en exploitant ce défaut de conception, un attaquant pourrait utiliser des applications légitimes, tels que les navigateurs Web ou les lecteurs multimédias, pour dérober des mots de passe, prendre des captures d'écran du Bureau et les uploader sur un serveur contrôlé par un attaquant ou même télécharger des composants malveillants supplémentaires sur le système cible afin de permettre une prise de contrôle complète de celui-ci. Parce que cette technique peut être utilisée comme vecteur d'attaque initial pour réussir à infiltrer secrètement une entreprise, elle peut offrir aux cybercriminels des possibilités d’attaques allant du déploiement de malwares à l'espionnage industriel. L'attaque AtomBombing implique l'écriture d’un code malveillant qui peut être extrait de l’Atom Table et exécuté par des applications légitimes. Voici la description des trois étapes principales pour qu’une exploitation de cette faille soit réussie :


La première étape consiste à écrire les données arbitraires ou le code malveillant dans le même espace d’adressage que le processus ou l'application ciblée. Cela signifie que toutes les applications, même celles sur liste blanche et implicitement fiables pour les éditeurs de sécurité ou le service informatique d'une entreprise, peuvent être ciblées.


La deuxième étape de l'attaque consiste à détourner le thread d'une application légitime et à lui faire exécuter le code injecté - ou la chaîne de caractères - stocké dans l’Atom Table. C'est la partie où l'application légitime peut être détournée pour exécuter n'importe quel code sans être détectée par une solution de sécurité traditionnelle.


La dernière étape de la chaîne d'attaque pour AtomBombing implique la suppression du code malveillant et le retour à la normale du comportement de l'application ciblée, de manière à ne pas éveiller les soupçons. De cette façon, un attaquant peut utiliser une application légitime, comme un navigateur Web populaire ou toute application connectée à Internet, pour transférer les données de l'entreprise sans déclencher d’alertes.
Source : http://www.bitdefender.fr/blog-enterpri ... -1770.html

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »