Microsoft est généralement réactif lors de la découverte d’une faille de sécurité car des centaines de millions d’appareils Windows sont concernés. Parfois, cependant la position du géant interpelle concernant des vulnérabilités spécifiques.
L’un des derniers exemples concerne une vulnérabilité dans les raccourcis « .lnk » qui permet de déclencher le téléchargement de logiciels malveillants. Tout en semblant pointer vers des fichiers ou des exécutables légitimes, ces raccourcis incluent discrètement des instructions supplémentaires pour récupérer ou décompresser et tenter d’exécuter des charges utiles malveillantes.
Une faille âgée de 8 ans et toujours exploitée
Cette faille a été découverte par Trend Micro en 2024 et a été signalée à Microsoft en septembre 2024. Trend Micro affirme que le problème est connu des pirates et qu’il est exploité depuis au moins 2017. Au moins 1 000 de ces liens ont été trouvé dans la nature. Tous contiennent des mégaoctets de caractères d’espaces pour tenter de tromper les antivirus et la vigilance des utilisateurs.
L’origine de ces attaques proviennent de quatre pays, la Corée du Nord, la Chine, la Russie et l’Iran. Trend Micro précise qu’une grande majorité de ces attaques entrent dans la catégorie du vol d’informations et d’espionnage. Les gouvernements sont les plus ciblés, suivis par les secteurs privé et financier, les groupes de réflexion et les télécommunications. Le but est de télécharger et d’installer différents logiciels malveillants.
Microsoft n’a pas donné suite aux informations fournies. Trend Micro a déclaré qu’il avait décidé de rendre publiques ce dossier en raison de l’inactivité de Microsoft. Selon les chercheurs, la menace « pose un risque important pour la confidentialité, l’intégrité et la disponibilité des données conservées par les gouvernements, les infrastructures critiques et les organisations privées à l’échelle mondiale ».
Dustin Childs, responsable de la sensibilisation aux menaces au sein de la Zero Day Initiative, a expliqué à The Register
C’est l’un des nombreux bugs utilisés par les attaquants, mais c’est un bug qui n’est pas corrigé et c’est pourquoi nous l’avons signalé comme un zero day. Nous l’avons dit à Microsoft, mais ils considèrent qu’il s’agit d’un problème d’interface utilisateur, et non d’un problème de sécurité. Il ne répond donc pas à leurs critères de maintenance en tant que mise à jour de sécurité
Un porte-parole de Microsoft a fait écho à cette déclaration en précisant
Bien que l’expérience de l’interface utilisateur décrite dans le rapport ne réponde pas à la barre d’une maintenance immédiate selon nos directives de classification de gravité, nous envisagerons de la résoudre dans une future version de fonctionnalité.
Source : The Register
