Les chercheurs d’Eset ont découvert une faille de sécurité au sein de Windows. La vulnérabilité se trouve dans le noyau Windows Win32, une partie du sous-système qui permet aux applications de communiquer avec le système d’exploitation et le matériel.
La brèche « peut être utilisée pour élever ses privilèges sur une machine déjà compromise et permettre aux attaquants d’exécuter du code malveillant avec les privilèges les plus élevés », explique Benoit Grunemwald, expert en cybersécurité chez Eset France, à 01net. En clair, un pirate pourrait prendre le contrôle total d’un ordinateur, pour y installer des virus ou exfiltrer des données sensibles. L’exploitation de la faille ne nécessite pas que la victime clique sur un lien, ouvre un fichier ou effectue une autre action.
Il s’agit d’une vulnérabilité Use-After-Free (UAF), « liée à une mauvaise utilisation de la mémoire pendant le fonctionnement du logiciel », explique l’expert. Ce type de faille survient lorsqu’un programme continue d’utiliser un espace mémoire après que celui-ci a été libéré. Elle « peut entraîner des pannes logicielles, l’exécution de code malveillant (y compris à distance), une escalade des privilèges ou la corruption des données ».
À lire aussi : Cyberattaque contre Windows – des pirates exploitent une vieille faille de sécurité
Une faille combinée à un malware
Selon les recherches menées par Eset, la vulnérabilité est exploitée dans le cadre de cyberattaques depuis 2023. Pour exploiter la faille, les pirates se servent d’abord d’un virus intitulé PipeMagic. Ce logiciel malveillant est « capable d’exfiltrer des données et de permettre un accès à distance à la machine », ouvrant la porte à l’exploitation de la faille du noyau Windows Win32. Découvert par Kaspersky en 2022, le malware a notamment été impliqué dans des attaques par ransomware.
De nombreuses versions de Windows sont vulnérables, dont des itérations toujours prises en charge,« antérieures à Windows 10 build 1809, y compris Windows Server 2016 ». Benoit Grunemwald précise que d’anciennes versions de Windows, qui ne sont plus prises en charge par Microsoft, sont aussi concernées, à savoir Windows 8.1 et Server 2012 R2. Ce sont des millions d’ordinateurs qui sont vulnérables et « risquent d’être compromis ».
À lire aussi : 55 failles de Windows découvertes – 2 vulnérabilités étaient exploitées par des pirates
Microsoft déploie un correctif
Alerté par Eset, Microsoft a corrigé la faille dans le cadre de son dernier patch Tuesday. Selon l’éditeur de logiciel, l’exploitation de la brèche nécessite une certaine expertise. Dans une réaction adressée à 01Net, Tenable confirme l’analyse de Microsoft et estime que son « exploitation semble plus complexe que d’habitude ». En effet, l’exploitation de la vulnérabilité nécessite une situation de compétition. En clair, la brèche ne peut être exploitée que lorsque plusieurs processus du noyau tentent d’accéder à la ressource mémoire déjà libérée. L’apparition de la vulnérabilité dépend de l’ordre dans lequel ces processus accèdent à la mémoire.
Dans la foulée, Microsoft a aussi corrigé six autres vulnérabilités du système d’exploitation. Eset recommande « vivement aux utilisateurs des systèmes Windows concernés de suivre l’avis de Microsoft et d’appliquer les correctifs nécessaires ». Par ailleurs, les individus qui se servent d’un ordinateur tournant sous une version obsolète de Windows sont invités à « migrer vers des versions plus récentes ».
« Avec sept zero-days recensés, la mise à jour de mars 2025 fait partie des plus chargées en vulnérabilités critiques, un niveau déjà atteint à deux reprises en 2024 », analyse Satnam Narang, ingénieur chez Tenable.
Comme le rapportent nos confrères de Bleeping Computer, l’alerte d’Eset est remontée jusqu’à la Cybersecurity and Infrastructure Security Agency (CISA), l’Agence de cybersécurité et de sécurité des infrastructures des États-Unis. Estimant que « ces types de vulnérabilités constituent des vecteurs d’attaque couramment exploités par les cybercriminels et représentent des risques majeurs », l’organisme demande à toutes les agences fédérales américaines d’installer les correctifs avant le 1ᵉʳ avril 2025.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
