Depuis un certain temps déjà, des signes d'une nouvelle tendance sont apparus sur la scène criminelle. La recherche de vulnérabilités se poursuit. Mais surtout dans les logiciels non standards largement utilisés, car la mise à jour devient plus difficile. L'exemple le plus récent est l'outil de compression WinRAR. Un commentaire de Trend Micro.
En un le 02 août Dans un communiqué publié, le fabricant RARLAB a décrit deux vulnérabilités notables dont l'exploitation a déjà été prouvée et/ou est relativement facile à exploiter. La vulnérabilité CVE-2023-38831 décrit que des logiciels malveillants peuvent être « introduits clandestinement » dans des archives spécialement préparées, tandis que CVE-2023-40477 permet d'exécuter du code sur une machine affectée. Les deux problèmes peuvent être résolus en mettant à jour vers la dernière version de WinRAR. Mais les mises à jour doivent aussi être effectuées et c’est ce qui pose des difficultés à de nombreuses entreprises.
WinRAR : petite vulnérabilité – grand impact
Quelle est l’ampleur du danger ? C'est difficile à dire. Il existe apparemment déjà des archives « sauvages » pour CVE-2023-38831 qui confirment l’exploitation. Dans leur cas, les « méchants » étaient plus rapides. Jusqu’à présent, de telles attaques ont été constatées presque exclusivement dans le monde des cryptomonnaies. Les solutions de sécurité des entreprises permettent généralement de contrôler de manière fiable ces attaques grâce à des méthodes de détection modernes.
Les choses deviennent plus intéressantes en 2023-40477. Il a été découvert par des chercheurs en sécurité et ne constitue donc pas un « jour zéro ». À la version 7.8, la vulnérabilité a un faible score CVSS selon les normes d'exécution de code à distance (RCE) et n'est pas classée comme critique, mais plutôt « importante ». La raison en est que l’interaction de l’utilisateur doit avoir lieu. Seule une personne ayant accès à une machine peut théoriquement l’exploiter.
C’est l’un de ces cas où la théorie et la pratique dépendent de nombreux facteurs. L'accès est l'objectif de toutes les actions des cybercriminels, en particulier dans le secteur des entreprises. Il suffit qu'un système vulnérable accède à des sites Web préparés ou ouvre un fichier correspondant. Ces modèles d'attaque de ransomware standards permettent d'exploiter la vulnérabilité et d'exécuter le code correspondant. Ce n’est donc qu’une question de temps avant que cela ne soit fait.
Une simple mise à jour de WinRAR apporte la sécurité
Les deux lacunes peuvent être corrigées avec une simple mise à jour vers la dernière version. Mais c’est aussi souvent un défi pour les entreprises. Parce que ce n'est pas un logiciel standard. Il se peut qu'il n'y ait pas de mécanisme central de mise à jour et il peut même arriver que les administrateurs ne connaissent pas l'existence du logiciel. Si vous ne connaissez pas le contexte, la valeur relativement faible du CVSS (Common Vulnerability Scoring System) garantit une faible priorité dans le contexte de l'entreprise. Ce sont toutes les raisons pour lesquelles les pirates choisissent de telles failles de sécurité pour attaquer. Ils sont souvent méconnus et même s’ils le sont, ils sont considérés comme à faible risque. Selon Richard Werner, consultant commercial chez Trend Micro.
Plus sur Trendmicro.com
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.