Microsoft a corrigé 27 failles critiques ce mardi, y compris une faille du Microsoft .NET Framework qui est activement exploitée pour télécharger le logiciel de surveillance Finspy sur les appareils fonctionnant sous Windows 10.
Finspy est un véritable logiciel créé par le groupe Gamma basé au Royaume-Uni. Il est utilisé par les gouvernements du monde entier pour la cyber-surveillance. Le logiciel a été téléchargé lors d’au moins deux attaques au cours des derniers mois selon les experts de FireEye, dont la plus récente avait exploité la faille du Microsoft .Net Framework.
L’attaque commence par un e-mail de spam comprenant un fichier RTF malveillant. Le document utilise la vulnérabilité CVE-2017-8759 pour créer un code arbitraire qui installe et exécute un script VB comprenant des commandes PowerShell qui, à son tour, installe la charge utile malveillante.
FireEye suggère qu’au moins une attaque a été menée par un État-nation contre une cible russe. Cependant, les experts de FireEye pensent également que des pirates pourraient aussi utiliser la vulnérabilité pour mener d’autres attaques.
Selon un blog publié mardi dernier, la faille de Microsoft .Net Framework a été détectée et atténuée. Microsoft recommande fortement de télécharger rapidement la dernière mise à jour afin de minimiser l’exposition. Microsoft a annoncé que la faille pourrait permettre à un acteur malveillant de prendre le contrôle total du système ciblé.
Plusieurs failles Bluetooth ont été découvertes et partagées mardi par la société de sécurité Aramis. Elles ont eu un impact sur des milliards d’appareils compatibles Bluetooth dans le monde entier. Les huit failles, appelées BlueBorne, pourraient être utilisées pour mener des attaques de type « Man-in-the-Middle » sur des appareils via Bluetooth, en envoyant du trafic vers l’ordinateur de l’attaquant. Ces failles existent sous Windows, iOS, Android et Linux.
Pour que les failles puissent être exploitées, le Bluetooth devrait être activé pour l’appareil ciblé, bien qu’il ne soit pas nécessaire que le dispositif soit en mode découverte. Un pirate informatique pourrait les utiliser pour se connecter à un appareil – un téléviseur ou un haut-parleur par exemple – et démarrer une connexion à un ordinateur à l’insu de l’utilisateur. Afin de mener l’attaque, il devrait toutefois être physiquement et proche de l’appareil ciblé.
En plus d’intercepter les communications, un pirate informatique pourrait prendre la gestion complète d’un appareil et voler des données ; télécharger des ransomwares ou des malwares ; ou bien de réaliser d’autres activités malveillantes, telles que placer l’appareil sur un réseau de botnets. Microsoft a résolu l’un des bugs des pilotes Bluetooth – CVE-2017-8628 – dans sa dernière série de mises à jour.
L’une des mises à jour les plus urgentes concerne une vulnérabilité d’exécution de code à distance dans NetBIOS (CVE-2017-0161). La vulnérabilité affecte à la fois les serveurs et les périphériques de travail. Bien que l’on ne pense pas que cette vulnérabilité soit actuellement exploitée dans la nature, il est à noter qu’elle peut être exploitée simplement en envoyant des paquets de service de session NetBT spécialement conçus.
L’Initiative Zero Day (ZDI) a déclaré que la faille « est pratiquement vermifuge dans un réseau local. Cela pourrait également cibler de nombreux clients virtuels si les OS invités se connectent tous au même réseau LAN (virtuel) ».
Au total, 81 mises à jour ont été publiées lors du « Patch Tuesday » de Microsoft. Adobe a corrigé huit défauts, dont deux bugs critiques de corruption de mémoire (CVE-2017-11281, CVE-2017-11282) dans Flash Player ; un défaut critique d’analyse XML dans ColdFusion (CVE-2017-11286) et deux défauts d’exécution de code à distance ColdFusion (CVE-2017-11283, CVE-2017-11284) relatifs à la désérialisation des données non fiables.