Ce n’est que maintenant que Microsoft nous apprend qu’une faille zero-day dans SmartScreen de Windows a été corrigée en juin 2024. Elle permettait de contourner la protection Mark of the Web.
- Microsoft corrige en juin 2024 une faille zero-day dans SmartScreen permettant de contourner la protection Mark of the Web
- L’avis de sécurité pour cette vulnérabilité a été omis des mises à jour de juin et juillet, n’apparaissant qu’en août
- Des groupes comme Water Hydra ont exploité ces failles pour cibler des canaux Telegram de trading et des forums de forex
Deux mois après sa découverte, Microsoft révèle aujourd’hui la correction d’une faille de sécurité critique dans SmartScreen. Cette vulnérabilité, identifiée sous le nom de CVE-2024-38213, permettait de contourner la protection Mark of the Web (MotW) et était exploitée comme une zero-day par des attaquants.
À lire > Toutes les informations à connaître sur le système d’exploitation Windows 11
Une faille corrigée en juin, Microsoft a oublié de vous prévenir
SmartScreen, introduit avec Windows 8, est conçu pour protéger les utilisateurs contre les logiciels potentiellement malveillants lors de l’ouverture de fichiers téléchargés marqués MotW. Bien que l’exploitation de cette faille nécessite une interaction de l’utilisateur, elle peut être réalisée à distance par des acteurs malveillants non authentifiés, avec une complexité relativement faible.
Peter Girnus, chercheur en sécurité chez Trend Micro, a découvert l’exploitation active de cette vulnérabilité en mars 2024. Il a immédiatement alerté Microsoft, qui a corrigé la faille lors du Patch Tuesday de juin 2024. Toutefois, l’avis de sécurité correspondant a été omis des mises à jour de juin et juillet, une erreur inhabituelle pour Microsoft.
Cette faille s’inscrit dans une série d’exploitations de SmartScreen. En mars, des pirates du malware DarkGate ont utilisé CVE-2024-21412 pour déployer des charges utiles malveillantes déguisées en installateurs d’applications légitimes comme iTunes ou NVIDIA. La faille était elle-même un contournement d’une précédente vulnérabilité (CVE-2023-36025) exploitée pour diffuser le malware Phemedrone.
Les chercheurs de Trend Micro ont également découvert une nouvelle méthode d’exploitation, baptisée “copy2pwn”, permettant de copier localement un fichier depuis un partage WebDAV sans les protections MotW.
Depuis le début de l’année, le groupe de piratage Water Hydra (alias DarkCasino) a exploité ces failles pour cibler des canaux Telegram de trading et des forums de forex avec le cheval de Troie DarkMe.
La robustesse de SmartScreen soulève des questions
La multiplication de ces vulnérabilités dans SmartScreen soulève des questions sur la robustesse de cette protection. Elastic Security Labs a même identifié une faille de conception dans Windows Smart App Control et SmartScreen, exploitée depuis au moins 2018, permettant d’exécuter des programmes sans déclencher d’alertes de sécurité. Microsoft a été informé mais n’a pas encore apporté de correction définitive.
Il ne s’agit pas de la première faille critique pour Windows. Des pirates sont en mesure de rétrograder la version utilisée par une cible pour exploiter des failles autrefois corrigées. Pensez à toujours mettre à jour votre système d’exploitation pour éviter au maximum que des vulnérabilités subsistent.
