Actualités

GlueBall ou les péripéties sécuritaires d’une faille 0-day… connue depuis deux ans ! (future-ex-faille 0-day…)

Alors que Microsoft a publié depuis le 11 Août dernier son fameux patch Tuesday comportant pas moins de 120 rustines, ce cru du genre comblait son lot quotidien de vulnérabilités hautement critiques (voir, notamment, l’actualité relative à Stuxnet 2.0) dont une faille 0-day qui aurait été signalée à Microsoft… depuis deux ans !

 

 

C’est ce que nous apprend les chercheurs-analystes Peleg Hadar et Tal Be’ery : assignée CVE-2020-1464, la faille avait été mise en lumière et signalée en Août… 2018 et avait eu le temps de faire le tour des blogs sécuritaires pour les PoC ou compléments de PoCs en Janvier 2019. Au final, Microsoft a corrigé cette vulnérabilité en Août alors qu’un re-nouveau, en terme de diffusion médiatique, avait permis de véhiculer la dangerosité de GlueBall, en Juin dernier.

 

La démonstration de la faille avant et après l’application du patch correctif de Microsoft !

 

Le creux insécuritaire prenait son sein depusi la signature MSI : “les attaquants pourraient ajouter les données de leur choix à la fin d’un MSI signé, tout en conservant ce fichier considéré comme vérifié par Windows. Ce contournement de confiance a été rendu exploitable en ajoutant un exécutable Java JAR à la fin du MSI“, explique Tal Be’ery, dans un billet datant du 16 Août 2020. Tout le paradoxe résidait dans le fonctionnement, à la fois, des fichiers JAR (corrompus) qui se cantonnait à la fin de la chaîne MSI (signatures) qui, elle, se fixait autour du début de la chaîne.

La rustine a donc colmaté l’ensemble en vérifiant en toute logique la taille du MSI ; en cas de corruption, cela renvoie à une erreur et la signature est rejetée. L’expert sécuritaire Brian Krebs pointait cette faille 0-day en tant que “bug de spoofing dans pratiquement toutes les versions supportées par Windows qui permet à un attaquant de contourner les fonctionnalités de sécurité de Windows et de charger des fichiers à la signature impropre“. Le binôme sécuritaire souligne bien l’incompréhension collective quand à une prise en charge, de la part de Microsoft, si tardive. Dans le bulletin dédié, on ne retrouve, qui plus est, aucun trace – noms – des deux chercheurs… A veiller !

 

Source :  Medium – 16 Août 2020 – GlueBall (CVE-2020-1464) : patch correctif deux ans après la signalisation de la faille 0-day, en 2018.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020