Des chercheurs en sécurité d’Eye Research ont découvert une étonnante vulnérabilité dans un outil par défaut de Microsoft. Une faille de sécurité dans les Windows Update Health Tools a ainsi exposé près de dix mille entreprises dans le monde à un risque de piratage de leurs systèmes. La cause n’était pas un code complexe, mais plutôt une infrastructure cloud ‘oubliée’.
Le logiciel en question, Windows Update Health Tools, est distribué automatiquement par Microsoft, afin de simplifier les processus de mise à jour sur les ordinateurs. L’enquête a cependant révélé que d’anciennes versions de cet outil continuaient de se connecter à des emplacements de stockage sur la plateforme Microsoft Azure qui n’étaient plus gérés par le géant technologique.
Emplacements de stockage délaissés
Le danger réside dans les emplacements de stockage numérique délaissés. Des personnes malveillantes pourraient enregistrer ces domaines pour usurper l’identité de Microsoft. Comme les logiciels installés sur les ordinateurs des utilisateurs font entièrement confiance à ces emplacements, un trajet Remote Code Execution (RCE) est créé, permettant à des agresseurs d’exécuter des commandes à distance sur l’appareil concerné.
‘Quiconque contrôlait ces emplacements de stockage oubliés, pouvait influencer les fichiers récupérés par l’outil’, selon les chercheurs dans un article de blog. Lors d’un test, ces derniers ont réussi à démontrer qu’il était ainsi possible d’activer la Calculette de Windows – une preuve classique dans le domaine de la sécurité qu’un pirate a eu un accès complet au système.
Chauffeur routier
La recherche a débuté par la question de savoir que devient l’infrastructure cloud désactivée, à laquelle les logiciels continuent pourtant de se référer. Les chercheurs comparent la situation à celle d’un chauffeur routier qui se rend chaque jour au même entrepôt pour recevoir ses instructions. ‘Un jour, l’entrepôt est déserté, mais les camions continuent d’arriver. Les portes sont ouvertes, et personne ne se soucie de ce qui traîne sur le bureau.’
Lorsqu’Eye Research a enregistré un tel domaine délaissé pour voir ce qui allait se passer, elle a reçu en sept jours plus d’un demi-million de requêtes provenant des environnements réseau (tenants) de près de dix mille organisations.
Danger écarté
D’après les chercheurs, cette vulnérabilité met en lumière un risque majeur dans l’IT moderne: une confiance aveugle en les fournisseurs. ‘Même des outils connus de grands fournisseurs peuvent contenir des dépendances cachées qui engendrent des risques inattendus, lorsqu’ils ne sont plus gérés activement.’
Eye Research a directement signalé ses découvertes à Microsoft via une ‘responsible disclosure-procedure’. Microsoft a depuis lors repris le contrôle des emplacements de stockage concernés, rendant ainsi ce trajet impossible à exploiter par la suite.
En collaboration avec Dutch IT Channel.