Posté le août 10, 2022 à 9:04
LA CISA MET EN GARDE CONTRE DES FAILLES DÉCOUVERTES DANS LES VERSIONS UNIX D’UNRAR
La CISA (Cybersecurity and Infrastructure Security Agency) a lancé une mise en garde contre des vulnérabilités Windows et UnRAR récemment divulguées qui sont désormais exploitées dans la nature. L’agence a déclaré que l’une de ces failles, connue sous le nom de CVE-2022-30333, est une vulnérabilité de traversée de chemin dans les versions Unix de UnRAR. Elle peut être exploitée lorsqu’une archive RAR de conception malveillante est extraite.
Par conséquent, un acteur de menaces pourrait exploiter la vulnérabilité en déposant des fichiers arbitraires sur un système ciblé. Le hacker peut décompresser le fichier du système cible sur lequel l’utilitaire est installé. Le bug a été découvert fin juin par Simon Scannell, chercheur chez SonarSource.
Le code d’exploitation du bug est disponible dans la nature
Sur la base des preuves d’exploitation active, la CISA a ajouté deux autres bogues au catalogue des vulnérabilités connues et exploitées. L’agence émet des avertissements périodiques sur les vulnérabilités qui peuvent être exploitées si l’utilisateur n’applique pas de correctifs. Ces séries d’avertissements fournissent aux utilisateurs ciblés des informations leur permettant de se protéger contre toute attaque de leur système.
L’une des vulnérabilités a été présente pendant plus de deux ans sous la forme d’une faille zero-day dans l’outil de diagnostic du support Windows (MSDT). L’agence a également révélé que son code d’exploitation est disponible dans le grand public.
Les deux vulnérabilités ont reçu un score de gravité élevé, ce qui les rend très susceptibles d’être exploitées et utilisées pour attaquer des systèmes ciblés. Elles ont été désignées comme des vulnérabilités de traversée de répertoire qui peuvent permettre à un hacker d’implanter un logiciel malveillant et de lancer une attaque sur un système.
Une autre vulnérabilité, connue sous le nom de CVE-2022-34713, est officieusement appelée DogWalk. La vulnérabilité permet à un acteur de menaces de planter des exécutables malveillants dans le dossier de démarrage de Windows. Imre Rad, chercheur en sécurité chez Microsoft, a initialement signalé ce bug en janvier 2020. Cependant, le rapport a été rejeté après avoir été classé comme ne présentant pas de risque de sécurité à l’époque.
Mais cette année, la vulnérabilité a refait surface après que les chercheurs en cybersécurité j00sean ont découvert et décrit ses niveaux de risque. Il a décrit comment un acteur de menaces pourrait causer des dommages en fournissant des preuves vidéo de la façon dont il a exploité le bug.
La vulnérabilité DoWalk permet l’exécution de code
Selon le chercheur, l’exploitation réussie de la vulnérabilité nécessite une interaction avec l’utilisateur. C’est un problème qui peut être surmonté par l’ingénierie sociale dans des attaques basées sur le web ou par e-mail.
Microsoft explique que l’acteur de la menace pourrait exploiter la faille en livrant le fichier à l’utilisateur et en le convainquant de voir ce qu’il contient. Le fichier est spécialement conçu pour convaincre l’utilisateur qu’il a affaire à une véritable entreprise.
Microsoft a noté qu’en tant que variante de la faille Dogwalk, elle permet l’exécution de code lorsque MSDT est appelé via le protocole URL à partir de l’application appelante, généralement Microsoft Word.
Dans une attaque typique basée sur le web, un acteur malveillant peut héberger un site web qui contient un fichier spécialement conçu pour exploiter la vulnérabilité. Dans certains cas, l’attaquant peut héberger du contenu fourni par l’utilisateur ou profiter d’un site web compromis pour lancer son attaque.
Pour la plupart des versions de Windows concernées, il existe un correctif non officiel qui existe depuis juin. Certains utilisateurs ont déjà appliqué la mise à jour à partir du service de micropatching 0patch.
Dans le cadre des mises à jour de sécurité pour Windows en août 2022, Microsoft a tenté de corriger le bogue CVE-2022-34713. Le géant technologique a admis que cette faille avait été utilisée dans des attaques.
La vulnérabilité dans unRAR est également exploitée
Microsoft a également admis que la faille d’unRAR a également été exploitée. Ce bogue, connu sous le nom de CVE-2022-30333, est une faille de traversée de chemin dans l’utilitaire UnRAR pour les systèmes Unix et Linux.
Ce bug permet à l’acteur de la menace de l’utiliser pour implanter des fichiers malveillants sur le système ou le périphérique ciblé. Une méthode d’exploitation typique consiste ici à extraire le fichier vers une section arbitraire pendant l’opération de décompression.
Cette vulnérabilité a été révélée par la société Suisse Sonar Source en juin. Le rapport décrivait comment la faille pouvait aider les attaquants à exploiter et cibler un système. La société a déclaré qu’elle pouvait être déployée pour l’exécution de code à distance afin de pénétrer dans le serveur de messagerie Zimbra sans authentification.
Le logiciel de test de pénétration Metasploit a ajouté l’exploit au début du mois. Les agences fédérales Américaines doivent appliquer les correctifs aux deux vulnérabilités des fournisseurs d’ici le 30 août. La CISA est chargé de fournir des informations sur toute vulnérabilité susceptible d’affecter les organisations si elle n’est pas correctement corrigée. L’agence joue un rôle plus large en veillant à ce que les organisations Américaines soient à l’abri des activités des acteurs malveillants, qu’il s’agisse d’individus ou d’États.
