Microsoft a publié cette nuit son traditionnel Patch Tuesday. C’est aussi la dernière maintenance pour Windows 7. Il comprend le correctif d’une faille hautement critique.
Cette dernière (CVE-2020-0601) affecte le cryptage des signatures numériques utilisées pour authentifier le contenu. Si elle est exploitée, la faille pourrait permettre à des criminels d’envoyer du contenu malveillant avec de fausses signatures. Avec cette faille, l’attaquant peut simplement usurper le certificat Microsoft. “Vous pouvez imaginer son utilisation dans les ransomwares et les attaques de phishing sur les systèmes non corrigés. Il s’agit d’une vulnérabilité sérieuse et que nous nous attendons à voir pleinement exploitée dans les semaines et les mois à venir. Nous verrons des attaques se poursuivre au cours de l’année parmi les organisations qui ne corrigent pas rapidement leurs systèmes », prévient Renaud Deraison, CTO et co-fondateur de Tenable.
Selon le site krebsonsecurity, c’est la NSA qui a alerté Microsoft il y a quelques semaines de cette faille critique. Le gouvernement américain et d’autres clients fournisseurs d’infrastructures critiques auraient d’ailleurs bénéficié d’un correctif en avance.
Lire les explications d’Ivanti
