Windows 10 est victime d’une faille de sécurité qui ne sera pas corrigée avant le 10 novembre
Découverte le 22 octobre dernier, une faille 0-day de Windows 10 n'a pas encore été corrigée. Et même si la faille est actuellement exploitée, elle ne sera pas corrigée avant le 10 novembre 2020, date à laquelle Microsoft déploiera son traditionnel Patch Tuesday.
Project Zero, une équipe de spécialistes en cybersécurité montée par Google, a récemment mis en lumière une faille o-day concernant Windows 10. La vulnérabilité porte le nom de CVE-2020-17087 et provoque un débordement de la mémoire tampon du noyau Windows.
Jusqu'ici, rien d'anormal, le système d'exploitation de Microsoft faisant régulièrement l'objet de vulnérabilités en tout genre. Mais Microsoft tardant à la corriger, le code source a été publié et des hackers seraient déjà à l’œuvre pour en tirer parti.
A lire aussi : Windows 10, le patch Tuesday d’octobre 2020 corrige 87 failles de sécurité, dont une très dangereuse
Microsoft tarde à corriger la faille CVE-2020-17087 de Windows 10
Selon l'équipe de Google, un bug résidant dans la fonction cng! CfgAdtpFormatPropertyBlock et concernant le pilote Windows Kernel Cryptography (cng.sys) peut causer un problème de troncature d'entiers 16 bits. Portant l'identifiant CVE-2020-17087, ce bug a été dévoilé le 22 octobre dernier, mais n'a toujours pas été corrigé par Microsoft. Une fois la faille exploitée, un hacker est alors capable de provoquer des plantages de la machine, ce qui peut s'avérer gênant, mais n'entraîne en soi aucun problème de sécurité. En revanche, il a aussi la possibilité d'élever ses privilèges, ce qui s'avère bien plus problématique puisqu'il a alors le moyen de prendre le contrôle du PC.
Selon Google, il semble que des hackers exploitaient déjà cette faille de sécurité avant sa découverte par l'équipe de Project : Google a donc accordé 7 jours à Microsoft pour combler la vulnérabilité, délai au terme duquel Project Zero a publié son code source. Ce n'est pas la première fois que Google laisse un délai très court à Microsoft pour patcher son système d'exploitation. En 2018, une vulnérabilité révélée dans Windows 10 S avait même obligé l'éditeur de Redmond à diffuser un correctif en catastrophe sur son site.
Il y a donc urgence, désormais. Signalons cependant que la vulnérabilité en question n'est exploitable qu'en local et non à distance. De quoi limiter fortement sa portée. En revanche, si le code source a été testé avec succès sur la version 1903 de Windows 10, selon l'équipe de Project Zero, cette faille pourrait également concerner Windows 7 et Windows 8.1. À l'heure actuelle, il n'existe aucun donc moyen de combler cette faille de sécurité. Toujours d'après Project Zero, Microsoft travaille sur un correctif, mais celui-ci ne sera pas diffusé avant le prochain Patch Tuesday, lequel est prévu pour le 10 novembre prochain.
In addition to last week's Chrome/freetype 0day (CVE-2020-15999), Project Zero also detected and reported the Windows kernel bug (CVE-2020-17087) that was used for a sandbox escape. The technical details of CVE-2020-17087 are now available here: https://t.co/bO451188Mk
— Ben Hawkes (@benhawkes) October 30, 2020
