Windows victime d’une série de failles ultra-critiques

Microsoft a patché des vulnérabilités permettant de créer des vers informatiques sur Windows 7, Windows 8 et Windows 10. L’éditeur a également corrigé une faille vieille de 20 ans, permettant d’élever ses privilèges.

Hier, à l’occasion de son Patch Tuesday, Microsoft a publié des correctifs à installer d’urgence, si ce n’est pas déjà fait. En effet, ils colmatent une série de failles ultra-critiques, affectant tout particulièrement les dernières versions du système d’exploitation. Deux failles similaires à « BlueKeep » ont ainsi été trouvées par des chercheurs en sécurité de Microsoft (CVE-2019-1181 et CVE-2019-1182).

Pour rappel, BlueKeep est une vulnérabilité dans le protocole de prise de contrôle à distance RDP (Remote Desktop Protocol). Détectée en mai dernier, elle permet de créer des vers informatiques pour d’anciens systèmes tels Windows XP et Windows 7. Elle a donc un potentiel destructeur équivalent à WannaCry ou NotPetya.

Trois versions de Windows concernées

C’est également le cas des deux nouvelles failles qui, elles aussi, permettent de créer des vers informatiques. Mais dans leur cas, c’est encore pire, car elles affectent les versions récentes du système d’exploitation, à savoir Windows 7, Windows 8 et Windows 10.

A l’heure actuelle, il est difficile de savoir combien d’ordinateurs sont concernés par ces nouvelles failles. Certains experts estiment que c’est plus que pour BlueKeep. Fin juillet dernier, plus de 788 000 ordinateurs Windows étaient encore vulnérables à cette première faille (source : BitSight).

Pirater Windows depuis Notepad

Le Patch Tuesday colmate par ailleurs une faille (CVE-2019-1162) qui réside dans tous les systèmes Windows, et cela, depuis plus de 20 ans. Elle a été trouvée par Tavis Ormandy, chercheur en sécurité chez Google Project Zero, et permet d’obtenir les privilèges systèmes à partir de n’importe quelle application.

Le problème réside dans CTextFramework, une librairie qui gère les entrées de texte et la configuration des claviers. Ce logiciel, qui date de l’ère Windows XP, est en réalité criblé de failles.

Tavis Ormady

A titre d’exemple, le chercheur a réussi à lancer une invite de commandes avec privilèges systèmes depuis… Notepad.

Sources: Microsoft, Google