Les utilisateurs de Windows qui n’ont pas encore installé les derniers correctifs sur leurs systèmes d’exploitation devront se dépêcher, car il existe désormais du code pour exploiter une vulnérabilité critique de Microsoft annoncée par Redmond il y a deux semaines.
Le défaut, CVE-2024-38063a un score CVSS de 9,8 car il permettrait à un attaquant non authentifié d’exécuter du code à distance sur une machine non corrigée en utilisant un paquet IPv6 spécialement conçu et en le spammant pour trouver des machines vulnérables. La seule solution de contournement consiste à désactiver IPv6 et à s’appuyer à la place sur IPv4, ce qui n’est pas réaliste pour de nombreuses personnes.
Les systèmes Windows 10, Windows 11 et Windows Server sont tous vulnérables. À l’époque, Microsoft avait déclaré qu’il n’y avait aucune preuve que la faille ait été exploitée dans la nature, mais qu’il était « plus probable » que quelqu’un trouve un moyen de l’utiliser.
Et c’est ce qui arriva. Un codeur avec le pseudo Ynwarcs a maintenant logiciel publié Ils ont conçu cette vulnérabilité pour l’exploiter. Ils soulignent que le code PoC est « plutôt instable ». Cependant, « le moyen le plus simple de reproduire la vulnérabilité est d’utiliser bcdedit /set debug on sur le système cible et de redémarrer la machine/VM », conseillent-ils.
« Cela fait du pilote de carte réseau par défaut kdnic.sys, qui est très heureux de fusionner les paquets. Si vous essayez de reproduire la vulnérabilité sur une configuration différente, vous devrez mettre le système dans une position où il fusionnera les paquets que vous avez envoyés. »
Microsoft a publié un correctif pour le problème dans la dernière version du Patch Tuesday du 13 août, mais il n’est pas rare que les administrateurs attendent pour voir si des correctifs posent problème (comme les correctifs d’août l’ont fait pour les utilisateurs de Linux) ou les déplacent simplement vers le bas de la file d’attente en raison de problèmes plus urgents nécessitant une attention particulière. Cela a conduit au phénomène de l’Exploit Wednesday, où les black haters utilisent les informations des correctifs pour attaquer les failles récemment exposées, même si dans la pratique ils ne sont pas si rapides à réagir.
Mardi, Marcus Hutchins, dont vous vous souvenez peut-être comme le pirate informatique qui a déjoué l’attaque du malware WannaCry et qui a ensuite été arrêté pour des délits informatiques commis par des adolescents, publié son point de vue sur la vulnérabilité, bien que sans code de preuve de concept.
« Habituellement, même la simple rétro-ingénierie du correctif pour déterminer quel changement de code correspond à la vulnérabilité peut prendre des jours, voire des semaines, mais dans ce cas, c’était instantané », a-t-il noté.
« C’était tellement facile, en fait, que plusieurs personnes sur les réseaux sociaux m’ont dit que j’avais tort et que le bug se trouvait ailleurs. Il y avait exactement un changement apporté à l’ensemble du fichier du pilote, qui s’est avéré être en fait le bug. »
Maintenant que cette vulnérabilité particulière a fait l’objet d’une attention particulière de la part des hackers white hat, les criminels ne manqueront pas de la suivre. L’aspect zéro clic et son omniprésence en font un aliment idéal pour les escrocs en ligne qui cherchent à gagner de l’argent. Alors, appliquez les correctifs, vous êtes prévenus. ®
2024-08-29 00:20:00
1724884359
#PoCcode #publié #pour #une #vulnérabilité #critique #Windows #zeroclick #Register
