Une faille ‘zeroday’ rend Windows vulnérable depuis des mois déjà

© Getty Images

Une faille ‘zeroday’ dans Windows 10, 11 et Windows Server offre à des personnes mal intentionnées la possibilité de mettre la main sur les droits de gestionnaire. La brèche est connue depuis quelques mois déjà, mais n’a provisoirement pas encore été colmatée malgré deux correctifs sortis précédemment. A noter cependant qu’un patch non-officiel résout le problème.

Il est question d’une faille dans Windows User Profile Service, identifiée sous l’appellation CVE-2021-34484. La brèche s’est vu attribuer un score CVSS V3 de 7,8. Bleeping Computer signale que le bug a été découvert durant l’été dernier déjà par le chercheur Abdelhamid Naceri. Ce dernier en a informé Microsoft, après quoi l’entreprise sortit un correctif en août 2021.

Peu après, Naceri se rendit cependant compte que le patch ne colmatait pas la brèche. En janvier dernier, Microsoft sortit par conséquent un deuxième patch, mais encore insuffisant, selon Naceri.

Patches non officiels

0patch, qui sort des patches non officiels (en l’occurrence pour les versions Windows qui ne sont plus supportées et pour les failles non résolues par Microsoft), avait lancé en novembre dernier déjà une mise à jour non officielle pour Windows, en vue de solutionner le problème. Ce patch est à présent adapté aux mises à jour sorties en mars lors de Patch Tuesday. L’update est gratuitement disponible pour les utilisateurs enregistrés.

La solution d’0patch convient pour:

Windows 10 v21H1 (32 & 64 bits) avec les mises à jour de mars 2022

Windows 10 v20H2 (32 & 64 bits) avec les mises à jour de mars 2022

Windows 10 v1909 (32 & 64 bits) avec les mises à jour de mars 2022

Windows Server 2019 64 bits avec les mises à jour de mars 2022

En collaboration avec Dutch IT-channel.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire