Microsoft révèle avoir découvert une nouvelle vulnérabilité dans SmartScreen, une fonctionnalité de sécurité intégrée à Windows. En exploitant la brèche, le pirate peut contourner la fonction, conçue pour protéger les utilisateurs contre les logiciels malveillants, le phishing, et les attaques reposant sur le téléchargement de fichiers ou sur les sites web frauduleux.
La faille permet en fait de contourner Mark of the Web (ou MotW), un mécanisme de sécurité utilisé dans Windows pour identifier les fichiers téléchargés depuis des sources externes, telles qu’Internet ou des réseaux non sécurisés. L’outil prévient les utilisateurs si un fichier présente un risque. Avec la brèche, Windows n’affiche pas d’avertissement sur l’écran de l’ordinateur. De facto, la cible n’est pas en mesure de prendre les mesures nécessaires pour se protéger… La victime n’a pas conscience qu’elle installe un fichier qui a été reconnu comme frauduleux.
« La cible doit être convaincue d’ouvrir un fichier spécialement conçu à partir d’un serveur contrôlé par l’attaquant », explique Satnam Narang, chercheur chez Tenable, à 01Net.
À lire aussi : cet outil de Windows est à nouveau détourné par les cybercriminels
Des fonctions de sécurité paralysées
Comme l’explique Microsoft, un attaquant doit d’abord « héberger un fichier sur un serveur contrôlé » par ses soins afin « d’exploiter cette vulnérabilité ». Ensuite, il doit « convaincre un utilisateur ciblé de télécharger et d’ouvrir le fichier ». Pour ça, les cybercriminels ne manquent pas d’options. Ils peuvent par exemple se faire passer pour une autorité, comme le service des impôts, ou pour une enseigne. À l’heure des deepfakes, les hackers peuvent aussi usurper l’identité d’un proche pour vous convaincre d’ouvrir un fichier sur votre ordinateur. Une fois le fichier ouvert, l’attaquant peut déployer un malware, qui va siphonner vos données, chiffrer toutes les informations ou vous espionner en arrière-plan. Tout est possible.
« Un attaquant peut créer un fichier malveillant qui échapperait aux défenses de Mark of the Web », indique Microsoft.
Sans les avertissements émis par Windows, l’utilisateur est susceptible de tomber dans le piège. La faille permet aussi de berner Smart App Control (SAC), une fonctionnalité de sécurité introduite dans Windows 11 pour empêcher l’exécution de logiciels malveillants. Cette fonction, qui remplace SmartScreen, vise à renforcer la protection contre les applications non signées ou suspectes, en s’appuyant sur des modèles d’IA et des signatures numériques pour décider si une application est légitime. Smart App Control (SAC) et SmartScreen sont deux fonctionnalités de sécurité distinctes, mais complémentaires, qui s’activent lorsque vous essayez d’ouvrir des fichiers téléchargés ou des fichiers marqués comme dangereux. La faille rend ces deux protections inutiles et inopérantes.
Une faille massivement exploitée
Selon Microsoft, la vulnérabilité a été activement exploitée par des cybercriminels depuis 2018. Le constat de Microsoft s’appuie sur les conclusions d’une enquête réalisée par Elastic Security Labs. Dans son rapport de septembre 2024, Microsoft indique avoir corrigé la vulnérabilité, dont la gravité est considérée comme importante.
Ce n’est pas la première faille de SmartScreen identifiée et corrigée cette année. Au cours de l’été, le géant américain révélait d’ailleurs que DarkGate, un gang spécialisé dans les ransomwares, avait exploité une faille analogue dans le cadre de ses cyberattaques. Microsoft avait comblé la défaillance au début de l’été. La campagne Darkgate comprenait l’utilisation d’une autre vulnérabilité zero day, ajoute Satnam Narang. Selon lui, Water Hydra, le groupe de pirates à l’origine de cette campagne, « semble avoir un penchant pour la découverte et l’exploitation de ce type de vulnérabilités ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Microsoft