Des pirates ont camouflé leurs codes malveillants dans des fichiers d’installation MSI, signés en bonne et due forme. Révélée depuis deux ans, la faille n’a été colmatée que maintenant.

La manière dont Microsoft gère les failles de sécurité est parfois étrange. Dernier exemple en date : CVE-2020-1464, alias GlueBall. Ce « bug d’usurpation », comme le précise l’éditeur, a été colmaté la semaine dernière, à l’occasion de son traditionnel Patch Tuesday. Or, il s’avère que cette vulnérabilité n’est pas toute récente. Elle a été découverte en août 2018 par le chercheur en sécurité Bernardo Quintero, en analysant un fichier trouvé sur la plateforme VirusTotal. Il contenait un code malveillant écrit en Java et embarqué dans un fichier d’installation MSI.

Le hic, c’est que ce dernier disposait d’une signature en bonne et due forme de type « Microsoft » ou « Google Inc ». Le problème, en effet, c’est que pour vérifier les signatures d’un exécutable MSI, Windows n’inspectait que le début du fichier, sans voir le code Java malveillant qui était ajouté à la fin. Un pirate pouvait donc diffuser un malware en le faisant passer pour un fichier MSI tout à fait officiel.

En découvrant cela, Bernardo Quintero a immédiatement alerté Microsoft… qui s’est dépêché de ne rien faire. Même quand le chercheur a publié en janvier 2019 une note de blog expliquant tous les détails techniques de cette faille, le firme de Redmond a regardé ailleurs, alors qu’il s’agissait d’une faille zero-day déjà exploitée par des pirates.

Par la suite, d’autres notes de blog ont été écrites sur le sujet et davantage de groupes de pirates ont commencé à ajouter cette technique à leur arsenal. En juin 2020, de nouveaux malware GlueBall sont découverts et exposés sur les réseaux sociaux. Cette exposition médiatique a probablement poussé Microsoft a finalement développer un patch. Mieux vaut tard que jamais. Évidemment, l’éditeur n’a donné aucune explication sur ce retard à l’allumage.

Source Note de blog de Tal Be’ery

Partager.

A propos de l'auteur

Laisser Une Réponse