Windows est victime d’une défaillance de sécurité vieille de 10 ans. Des logiciels malveillants l’exploitent actuellement. Un correctif est pourtant disponible.
Le système d’exploitation Windows est la cible d’attaques. Elles s’appuient sur l’une de ses failles de sécurité connue depuis 10 ans maintenant. Elle permet d’ajouter du code à des fichiers Windows signés sans perdre leur statut signé. Les signatures sont une sécurité sous Windows afin de déterminer l’authenticité des fichiers. Elles sont utilisées par la majorité des solutions de sécurité afin des fin de vérification.
Le plus problématique dans cette découverte concerne le correctif. Il est disponible depuis un petit moment mais en « opt-in ». De plus il semble qu’une mise à niveau vers Windows 11 s’accompagne de son retrait du système d’exploitation.
L’information est signée Bleeping Computer. La société de communications VOIP 3CX a été victime de cette défaillance. Des pirates ont réussi à inclure des logiciels malveillants dans son application de bureau pour Windows. L’attaque s’est appuyée sur la modification de deux fichiers DLL afin d’ajouter un cheval de Troie.
Cet acte de piraterie fait surtout parlé de lui car il exploite la faille CVE-2013-3900 de validation de signature WinVerifyTrust confirmée par Microsoft en 2013 !
Windows et la faille CVE-2013-3900, comment se protéger ?
A l’époque Microsoft a publié un correctif « opt-in » pour corriger la situation. L’opération consiste à rajouter un certain contenu au registre Windows. L’opération est délicate et demande de la prudence. Elle est de plus manuelle.
Pour les versions 32 bits de Windows
Collez le texte suivant dans un éditeur de texte tel que le Bloc-notes. Ensuite, enregistrez le à l’aide de l’extension de nom de fichier .reg (par exemple, enableAuthenticodeVerification.reg).
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"
Vous pouvez appliquer ce fichier .reg à des systèmes individuels en double-cliquant dessus. Vous devez redémarrer le système pour que vos modifications prennent effet.
Pour les versions 64 bits de Windows
Collez le texte suivant dans un éditeur de texte tel que le Bloc-notes. Ensuite, enregistrez le fichier à l’aide de l’extension de nom de fichier .reg (par exemple, enableAuthenticodeVerification64.reg).
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"
Vous pouvez appliquer ce fichier .reg à des systèmes individuels en double-cliquant dessus. Vous devez redémarrer le système pour que vos modifications prennent effet.
Ces changements vont permettre aux fichiers binaires non conformes d’apparaître non signés et, par conséquent, ne seront pas approuvés.
“Windows est victime d’une défaillance de sécurité vieille de 10 ans.”
Toujours autant impressionné par la productivité de Satya Nadella…
Il y a une erreur dans la rédaction de vos fichiers .reg. Il faut passer une ligne et inscrire “EnableCertPaddingCheck”=”1” SOUS [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] sinon la clé de registre ne se crééra pas correctement. Pour être plus clair, ce doit être ainsi:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
“EnableCertPaddingCheck”=”1”
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
“EnableCertPaddingCheck”=”1”