{"id":440597,"date":"2022-10-31T18:32:26","date_gmt":"2022-10-31T20:32:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/patch-non-officiel-publie-pour-la-nouvelle-vulnerabilite-windows-motw-activement-exploitee\/"},"modified":"2022-10-31T18:32:27","modified_gmt":"2022-10-31T20:32:27","slug":"patch-non-officiel-publie-pour-la-nouvelle-vulnerabilite-windows-motw-activement-exploitee","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/patch-non-officiel-publie-pour-la-nouvelle-vulnerabilite-windows-motw-activement-exploitee\/","title":{"rendered":"Patch non officiel publi\u00e9 pour la nouvelle vuln\u00e9rabilit\u00e9 Windows MotW activement exploit\u00e9e"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un correctif non officiel a \u00e9t\u00e9 mis \u00e0 disposition pour une faille de s\u00e9curit\u00e9 activement exploit\u00e9e dans Microsoft Windows qui permet aux fichiers sign\u00e9s avec des signatures malform\u00e9es de se faufiler au-del\u00e0 de Mark-of-the-Web (<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1553\/005\/\" target=\"_blank\">MotW<\/a>) protections.<\/p>\n<p>Le correctif, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.0patch.com\/2022\/10\/free-micropatches-for-bypassing-motw.html\" target=\"_blank\">publi\u00e9<\/a> par 0patch, arrive des semaines apr\u00e8s que HP Wolf Security a divulgu\u00e9 une campagne de ransomware Magniber qui cible les utilisateurs avec de fausses mises \u00e0 jour de s\u00e9curit\u00e9 qui utilisent un fichier JavaScript pour faire prolif\u00e9rer le malware de cryptage de fichiers.<\/p>\n<p>Alors que les fichiers t\u00e9l\u00e9charg\u00e9s depuis Internet sous Windows sont marqu\u00e9s d&#8217;un indicateur MotW pour emp\u00eacher les actions non autoris\u00e9es, il a depuis \u00e9t\u00e9 d\u00e9couvert que des signatures Authenticode corrompues peuvent \u00eatre utilis\u00e9es pour permettre l&#8217;ex\u00e9cution d&#8217;ex\u00e9cutables arbitraires sans aucun <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/threat-protection\/microsoft-defender-smartscreen\/microsoft-defender-smartscreen-overview\" target=\"_blank\">Avertissement SmartScreen<\/a>.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/install\/authenticode\" target=\"_blank\">Code d&#8217;authentification<\/a> est une technologie de signature de code de Microsoft qui authentifie l&#8217;identit\u00e9 de l&#8217;\u00e9diteur d&#8217;un logiciel particulier et v\u00e9rifie si le logiciel a \u00e9t\u00e9 falsifi\u00e9 apr\u00e8s sa signature et sa publication.<\/p>\n<p>&#8220;La [JavaScript] contient en fait le MotW mais s&#8217;ex\u00e9cute toujours sans avertissement lorsqu&#8217;il est ouvert \u00bb, a not\u00e9 Patrick Schl\u00e4pfer, chercheur chez HP Wolf Security.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"546\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Patch-non-officiel-publie-pour-la-nouvelle-vulnerabilite-Windows-MotW.gif\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\"><i>Source\u00a0: Twitter de Will\u00a0Dormann<\/i><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&#8220;Si le fichier contient cette signature Authenticode mal form\u00e9e, la bo\u00eete de dialogue d&#8217;avertissement SmartScreen et\/ou d&#8217;ouverture de fichier sera ignor\u00e9e&#8221;, a d\u00e9clar\u00e9 Will Dormann, chercheur en s\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/wdormann\/status\/1582458287915573249\" target=\"_blank\">expliqu\u00e9<\/a>.<\/p>\n<p>Maintenant, selon le co-fondateur de 0patch, Mitja Kolsek, le bogue du jour z\u00e9ro est le r\u00e9sultat du fait que SmartScreen renvoie une exception lors de l&#8217;analyse de la signature malform\u00e9e, qui est interpr\u00e9t\u00e9e \u00e0 tort comme une d\u00e9cision d&#8217;ex\u00e9cuter le programme plut\u00f4t que de d\u00e9clencher un avertissement.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEglTybVbyQ3y6xCIxW9BIpqhgWBf_IhNgCo44HrgwUeYVi_GwvasznH93LLdkqJLwdp4DUkFkILg6m3WDgkue7MFxmbzFxmTBe7-pukEjyvUZ3j9yGyBcL2yUAZVFSQkjSric7YYfU8WgwHwYsS2-3wZ1zLQDAqgkoEpk5kZsbUuyh0UlV8nq7PplYEgQ\/s1600\/banners-crowdsec-728.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Les correctifs pour la faille arrivent \u00e9galement moins de deux semaines apr\u00e8s <a rel=\"nofollow noopener\" href=\"https:\/\/blog.0patch.com\/2022\/10\/free-micropatches-for-bypassing-mark-of.html\" target=\"_blank\">correctifs non officiels<\/a> ont \u00e9t\u00e9 exp\u00e9di\u00e9s pour une autre faille de contournement MotW zero-day qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e en juillet et a depuis fait l&#8217;objet d&#8217;une attaque active, selon un chercheur en s\u00e9curit\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1579895038523609088\" target=\"_blank\">K\u00e9vin Beaumont<\/a>.<\/p>\n<p>La vuln\u00e9rabilit\u00e9, d\u00e9couverte par Dormann, concerne la fa\u00e7on dont Windows ne parvient pas \u00e0 d\u00e9finir l&#8217;identifiant MotW sur des fichiers extraits de fichiers .ZIP sp\u00e9cialement con\u00e7us.<\/p>\n<p>&#8220;Les attaquants pr\u00e9f\u00e8rent donc naturellement que leurs fichiers malveillants ne soient pas marqu\u00e9s avec MOTW\u00a0; cette vuln\u00e9rabilit\u00e9 leur permet de cr\u00e9er une archive ZIP telle que les fichiers malveillants extraits ne seront pas marqu\u00e9s&#8221;, a d\u00e9clar\u00e9 Kolsek.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/unofficial-patch-released-for-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un correctif non officiel a \u00e9t\u00e9 mis \u00e0 disposition pour une faille de s\u00e9curit\u00e9 activement exploit\u00e9e dans Microsoft Windows qui permet aux fichiers sign\u00e9s avec des signatures malform\u00e9es de se faufiler au-del\u00e0 de Mark-of-the-Web (MotW) protections. Le correctif, publi\u00e9 par 0patch, arrive des semaines apr\u00e8s que HP Wolf Security a divulgu\u00e9 une campagne de ransomware [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":440598,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4807,4168,4158,4165,4161,36372,4157,4159,4171,4170,4167,4160,120936,197,4163,4162,639,71440,185,2212,4172,4169,4166,3667,4164,45020],"class_list":["post-440597","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-activement","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-exploitee","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-motw","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-officiel","tag-patch","tag-pour","tag-publie","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/440597","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=440597"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/440597\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/440598"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=440597"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=440597"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=440597"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}