Windows 10 et 11 : une faille corrigée il y a des années est toujours exploitée par les hackers

Alors que Microsoft a corrigé une faille de sécurité en 2013, voilà que celle-ci refait surface. En cause : le système de signature des DLL (Dynamic Link Library) de Windows. Et pour parfaire le tout, les pirates exploitent cette faille en l'associant à l'un des pires malwares bancaires, Zloader.

Malware PC Windows
Crédit photo : Phonandroid.

Dans un bulletin de sécurité datant de 2013, Microsoft déclarait avoir corrigé une faille de sécurité concernant ses DLL, faille de sécurité qui permettait à un pirate de prendre totalement le contrôle de la machine. On croyait s'être définitivement de cette menace dans Windows, mais voilà qu'elle ressurgit près d'une décennie plus tard.

Ce sont les chercheurs en sécurité de Checkpoint qui sont à l'origine de cette découverte : la faille est toujours exploitée, car son correctif n'est pas activé par défaut. Et les techniques des pirates ayant évolué, ils en profitent dorénavant pour la coupler au malware bancaire Zloader. Ainsi, en novembre dernier, Checkpoint a pu répertorier près de 2 200 victimes réparties dans 111 pays, qui ont tous un point commun : Zloader avait été installé à cause de la faille des DLL.

La faille des DLL de Windows a pourtant bien été corrigée

Les DLL sont à Windows ce que les citrouilles sont à Halloween : elles sont indispensables au bon fonctionnement du système et de ses applications. Elles sont présentes dans toutes les versions de l'OS, depuis sa création en 1985, jusqu'au très récent Windows 11 sorti l'an dernier. Mais pour éviter toute tentative de détournement des DLL d'un PC sous Windows, Microsoft signe numériquement chacune d'entre elles. En théorie, elles sont donc inviolables.

En revanche, une succession de failles concernant les signatures des DLL est venue tout remettre en question il y a quelques années : connues sous les noms de CVE-2020-1599, CVE-2013-3900 et CVE-2012-0151, Microsoft avait pourtant bien réussi à les corriger. En revanche, si l'éditeur de Windows avait rapidement trouvé un moyen de la combler en 2013, il avait estimé qu'il valait mieux trouver une autre solution… Quitte à désactiver par défaut le correctif en 2014, car “son impact sur les applications pouvait être élevé” !

À lire aussi : Valak – ce malware qui fait des ravages vole vos données le plus simplement du monde

Des hackers sont donc revenus sur la faille des DLL et remettent le couvert. Pour ce faire, ils injectent un script malveillant au fichier DLL, sans pour autant toucher à la signature attribuée par Microsoft. Et ils en profitent pour diffuser le malware bancaire ZLoader sur l'ordinateur de leurs victimes, un logiciel malveillant qui avait déjà fait refait surface en août dernier.

Une fois installé, le malware modifie les préférences de Windows Defender et patche la base de registre. Ensuite, l'attaquant a un accès total au système et peut télécharger ou récupérer n'importe quel fichier, lancer des scripts, etc. Autant dire qu'il peut faire absolument tout ce qu'il veut des données qui se trouvent sur le PC compromis.

La méthode employée pour diffuser le malware risque de se répandre comme une trainée de poudre

“Lorsque vous voyez un fichier DLL signé, vous êtes presque certain de pouvoir lui faire confiance, mais cela montre que ce n'est pas toujours le cas”, déclare Kobi Eisenkraft, chercheur en logiciels malveillants chez Checkpoint. “Je pense que nous verrons de plus en plus de cette méthode d'attaque.” Selon Checkpoint, la campagne de propagation du malware présente de nombreuses similitudes avec celle de MalSmoke, qui a eu eu lieu en 2020.

“Nous avons un correctif, mais personne ne l'utilise”, explique Kobi Eisenkraft. “Par conséquent, de nombreux malwares pourraient attaquer les entreprises et les ordinateurs personnels en utilisant cette méthode.” Checkpoint recommande donc d'appliquer la mise à jour de Microsoft permettant une vérification stricte des DLL et d'Authenticode.

Voilà comment vous y prendre si vous souhaitez installer le correctif en question :

  • Ouvrez le Bloc-notes de Windows et copiez-collez les lignes suivantes :
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Logiciel\Microsoft\Cryptographie\Wintrust\Config]
    “EnableCertPaddingCheck”=”1”
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
    “EnableCertPaddingCheck”=”1”
  • Enregistrez le fichier : nommez-le comme bon vous semble, mais attribuez-lui l'extension .reg (plutôt que .txt)
  • Exécutez-le. Le fichier va alors patcher la base de Registre de Windows et le tour est joué.
  • Notez que certaines signatures pourtant légitimes peuvent cependant apparaître comme non valides. Cela ne semble pas concerner des applications majeures, néanmoins.

Source : Wired


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Le BMW iX3 écrase ses rivaux sur 1 000 km avec seulement 2 arrêts

Sur autoroute, les voitures électriques peinent encore à convaincre sur les longs trajets. Le BMW iX3 vient de prouver le contraire lors d’un test de 1 000 km. Deux arrêts…

One UI 9 va complètement changer le look du lecteur de média sur les Samsung Galaxy et c’est sublime

Le leaker Tarun Vats a partagé plusieurs captures d’écran du futur lecteur de médias des smartphones Galaxy, qui fera son arrivée avec One UI 9. En plus d’arborer un nouveau…

Google Home fait le plein de nouveautés : meilleur contrôle du multimédia et nouvelle expérience pour les caméras

Google Home bénéficie d’une mise à jour bienvenue, qui apporte des changements importants pour les caméras de surveillance et le contrôle des appareils multimédia. L’application Google Home fait peau neuve,…

iPhone 18 : la Dynamic Island serait beaucoup plus petite, cette photo le confirme

Une photo volée circulant actuellement sur le web vient confirmer une précédente rumeur concernant l’iPhone 18. Il semblerait qu’Apple ait bel et bien réduit drastiquement la taille de la Dynamic…

Galaxy Z Flip 8 : prix, écran OLED, fiche technique, Samsung nous prépare de bonnes et mauvaises surprises

Une nouvelle fuite en dit sur les projets de Samsung concernant son futur Galaxy Z Flip 8. Le prochain smartphone à clapet coréen devrait ainsi bénéficier d’un meilleur écran… au…

Windows 11 continue de faire le ménage, c’est au tour de l’explorateur de fichiers de se débarrasser de ce design antique

Depuis plusieurs jours, Microsoft multiplie les efforts pour moderniser Windows 11 et regagner la confiance des utilisateurs. Et la firme a une nouvelle cible en tête : l’explorateur de fichiers,…

Microsoft simplifie Edge en supprimant une fonction appréciée, mais pas Copilot

Le navigateur Edge est trop encombré selon Microsoft. Une fonctionnalité utilisée par de nombreux utilisateurs fait donc ses adieux. En revanche, l’IA Copilot reste en place. Difficile pour un navigateur…

L’application Gemini change de design sur iOS, voici à quoi elle ressemble

Google prépare depuis quelques mois une refonte complète de son application Gemini. Nous avons désormais les premières images du nouveau design sur iOS et en effet, ça change. Faire évoluer…

IA

Ce système de conduite autonome chinois inquiète Tesla, et un premier test le confirme

La Chine vient de présenter son rival le plus sérieux au FSD de Tesla. Le système VLA 2.0 de Xpeng a été testé en conditions réelles par des journalistes occidentaux….

Proton Mail évolue pour vous faire oublier Gmail, voici les nouveautés

La messagerie Proton, qui mise sur la sécurité et la confidentialité des données de ses utilisateurs, gagne plusieurs fonctionnalités. Parmi elles, une transition facilitée depuis Gmail pour vous inciter à…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.