Project Zero, l'équipe de recherche en sécurité électronique de Google, a lancé un ultimatum à Microsoft: il y a une faille de sécurité dangereuse dans Windows 10 et doit être corrigée immédiatement, car il y a déjà des pirates qui l'utilisent pour attaquer les PC avec ce système d'exploitation. Il s'agit d'une vulnérabilité « zero day », c'est-à-dire inhérente au code et non identifiée lors du développement.
Normalement, ceux qui découvrent ces failles le communiquent à ceux qui ont développé le logiciel, leur accordant Jour 90 le temps de publier un correctif et de le fermer avant de divulguer les détails. Dans ce cas, cependant, le temps alloué était bien inférieur, égal à seulement sept jours, car le bug de sécurité est déjà été découvert par des pirates, qui l'utilisent déjà. En exploitant cette faille, qui en plus de Windows 10 affecte également Windows 7, les cybercriminels peuvent exécuter à distance le code dangereux sur les PC avec ces deux systèmes d'exploitation Microsoft. Le bogue a reçu le code de CVE-2020-11787 et les chercheurs de Google l'ont découvert en cherchant la solution à un autre problème de sécurité, cette fois depuis Chrome.
CVE-2020-11787 : pourquoi c'est dangereux
Les chercheurs de Project Zero ont dévoilé les détails de cette vulnérabilité, conscients qu'elle est déjà connue des hackers. Profiter du bogue CVE-2020-11787 vous pouvez obtenir le privilèges système sous Windows et, par conséquent, faites à peu près ce que vous voulez sur l'ordinateur attaqué.
Les attaques déjà menées exploitaient CVE-2020-11787 avec une autre faille, cette fois en Navigateur Chrome, qui a été corrigé dans la dernière mise à jour de l'application qui apporte la version de Chrome alla 86.0.4240.111. Cependant, le premier bug, celui de Windows, reste à résoudre.
Selon Google, cette vulnérabilité peut conduire les pirates à contourner les systèmes cryptographie Windows, mais Microsoft n'est pas du même avis et ne semble pas pressé de publier le patch nécessaire pour fermer la faille.
Project Zero contre Microsoft
Le fait que les chercheurs du Projet Zero de Google aient rendu cette vulnérabilité publique est clairement une voie à suivre pression sur Microsoft, afin que vous puissiez vous dépêcher et le corriger. Mais Microsoft affirme que non seulement il n'y a aucun signe que la faille a été exploitée à grande échelle par des pirates, mais aussi que ce n'est pas vrai que l'exploiter peut miner le système de cryptage de Widows 7 et Windows 10.
Le chef du Projet Zéro, Ben Hawker, a répondu à Microsoft sur Twitter en disant clairement que la publication des détails sur cette vulnérabilité a été faite pour "inciter" la société à corriger le grave problème. Hawkes, dans un autre tweet, dit qu'il s'attend à ce que le correctif arrive le 10 novembre, que est le deuxième mardi du mois qui, selon la tradition de Microsoft, est le « Patch Tuesday », le jour où Microsoft publie chaque mois des mises à jour de sécurité pour ses produits et services. Microsoft publiera en fait le correctif pour le bogue CVE-2020-11787 le 10 novembre.
Microsoft, quant à lui, est aux prises avec un un autre gros problème de sécurité: celui qui découle de la vulnérabilité ZeroLogon, pour lequel il a déjà publié le correctif que beaucoup n'ont cependant pas encore téléchargé et installé.
Google découvre un autre bug de sécurité majeur de Windows 10
