CVE-2023-36025 – Cette faille dans SmartScreen met en danger vos machines Windows : protégez-vous maintenant !

Le Patch Tuesday de novembre 2023 mis en ligne par Microsoft corrige une faille de sécurité de zero-day présente dans Windows SmartScreen et déjà exploitée par les pirates bien avant la sortie du correctif. Voici ce que l'on sait sur cette menace !

• Patch Tuesday - Novembre 2023 : 58 failles de sécurité et 5 zero-day corrigées !

Pour le moment, nous n'en entendons pas beaucoup parler, mais la faille de sécurité CVE-2023-36025 représente un véritable danger pour les entreprises. Pourquoi ? Et bien, tout d'abord, il existe déjà un exploit PoC disponible pour cette vulnérabilité, donc il est assez facile d'apprendre à l'exploiter.

Ensuite, en exploitant cette vulnérabilité, un attaquant peut bypasser la fonction SmartScreen de Windows, ce qui signifie que du code malveillant peut être exécuté sur la machine sans qu'il y ait le moindre avertissement de sécurité. Autrement dit, il n'y a pas la barrière SmartScreen car elle est outrepassée.

Microsoft estime que cette faille de sécurité est facile à exploiter : "Complexité de l'attaque : faible", peut-on lire sur le site MSRC de l'entreprise américaine. En effet, pour parvenir à exploiter cette faille, le cybercriminel doit convaincre l'utilisateur de cliquer sur un raccourci Internet (.URL) malveillant ou sur un lien pointant vers le raccourci en question. Nous pouvons imaginer la distribution d'un raccourci malveillant à l'aide de sites web compromis ou de campagnes de phishing !

Une vulnérabilité déjà exploitée par des cybercriminels

Avant même que la vulnérabilité ne soit corrigée par Microsoft, un groupe de cybercriminels traqué avec le nom TA544, a été repéré en train d'exploiter la CVE-2023-36025. D'après une analyse publiée il y a quelques années par Proofpoint, qui suit la menace depuis 2017, l'acteur TA544 s'attaque à des organisations situées en Europe de l'Ouest et au Japon, notamment pour déployer le trojan bancaire Ursnif.

Dans le cadre de l'exploitation de la CVE-2023-36025, les cybercriminels utilisent une page web où sont hébergés différents fichiers malveillants, appelés à l'aide d'un fichier .URL. Il peut s'agit d'un fichier de disque dur virtuel (.VHD) ou d'un fichier ZIP. En fait, la CVE-2023-36025 permet aux attaquants de monter automatiquement le disque virtuel VHD sur les systèmes cibles, simplement à l'aide d'un fichier .URL (voir ici).

Il semble important et urgent de se protéger de cette faille de sécurité qui affecte toutes les versions de Windows et Windows Server à partir de Windows 7 et Windows Server 2008, et jusqu'aux plus récentes. Pour Windows Server, les installations en mode "Core" sont également affectées. Pour cela, installez les dernières mises à jour de novembre 2023.

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio