Il y a un mois, nous avons écrit un article sur l’exploit d’une vulnérabilité Microsoft Windows que nous avions découvert. Cela va sûrement vous sembler familier, mais nos technologies proactives ont détecté un autre exploit zero-day, et là encore, cet exploit vise une vulnérabilité jusqu’alors inconnue du système d’exploitation. Cette fois, seuls Windows 7 et Windows Server 2008 sont menacés.
Cette limite ne rend pas pour autant cette menace moins dangereuse. Même si Microsoft a mis fin au support global de Windows Server 2008 en janvier 2015, et a proposé une mise à jour gratuite lors du lancement de Windows 10, certaines personnes n’ont pas actualisé le système. Les développeurs fournissent encore un soutien et des mises à jour de sécurité à ces deux systèmes, et devraient continuer de le faire jusqu’au 14 janvier 2020, puisqu’ils ont encore assez de clients pour justifier cette assistance.
Lorsque nous avons détecté l’exploit, vers la fin octobre, nos experts ont immédiatement signalé la vulnérabilité à Microsoft, avec preuve de concept. Les développeurs l’ont rapidement réparé le 13 novembre.
Que devriez-vous savoir sur cette vulnérabilité et l’exploit correspondant ?
Il s’agit d’une vulnérabilité zero-day d’élévation de privilèges, au sein du pilote win32k.sys. Grâce à cette vulnérabilité, les malfaiteurs peuvent obtenir les privilèges nécessaires pour persister dans le système de la victime.
Cet exploit a été utilisé par plusieurs attaques APT, principalement au Moyen-Orient. Il ne visait que les versions 32 bits de Windows 7. Vous pouvez obtenir plus de détails techniques dans cet article publié sur Securelist. Les abonnés à nos rapports qui fournissent des renseignements sur les menaces, peuvent obtenir plus d’informations sur cette attaque en contactant intelreports@kaspersky.com.
Comment vous protéger
Vous n’allez apprendre rien de nouveau ici, mais tenez compte des conseils que nous donnons habituellement pour les vulnérabilités :
- Installez immédiatement le patch de Microsoft.
- Mettez régulièrement à jour tous les logiciels que votre entreprise utilise afin d’avoir la dernière version.
- Arrêtez d’utiliser les logiciels obsolètes avant qu’il n’y ait plus d’assistance.
- Utilisez des produits de sécurité qui peuvent évaluer les vulnérabilités et gérer les patchs, afin d’avoir des processus de mises à jour automatiques.
- Choisissez une solution de sécurité robuste qui puisse détecter les éléments selon leur comportement, pour avoir une protection efficace contre les menaces inconnues, y compris les exploits zero-day.
Remarquez qu’une fois de plus, le mérite de cette détection de menace jusqu’alors inconnue est attribué à nos technologies proactives : à savoir, que cet antimalware et logiciel avancé de sandboxing, la plateforme Kaspersky Anti Targeted Attack, une solution spécialement conçue pour vous protéger des menaces APT, et une technologie de prévention automatique contre les exploits, forment le sous-système complet de Kaspersky Endpoint Security pour les entreprises.