Vectra® Networks, leader de la gestion automatisée des menaces, annonce aujourd'hui que les chercheurs du Vectra Threat Labs™ ont découvert une vulnérabilité critique dans Microsoft Windows qui permet à des attaquants de prendre le contrôle d'ordinateurs au niveau du système via des pilotes d'imprimante infectés ou falsifiés.
La vulnérabilité provient d'un processus Windows qui permet aux utilisateurs de rechercher, d'ajouter et d'utiliser rapidement des imprimantes à la maison, au bureau et sur Internet. Armé de contrôles au niveau du système, le site malware peut alors se propager latéralement d'une machine à l'ensemble d'un réseau.
"Cette vulnérabilité particulière permet à un attaquant d'exploiter la facilité avec laquelle les machines Windows se connectent aux imprimantes sur les réseaux", a déclaré Günter Ollmann, CSO de Vectra Networks. "Alors que la plupart des appareils nécessitent une autorisation spécifique de l'utilisateur ou de l'administrateur avant que le logiciel ne soit téléchargé sur une machine, il est possible pour les pilotes d'imprimante de contourner ces restrictions."
"Cela fait des imprimantes l'un des vecteurs de menace les plus puissants sur un réseau", poursuit M. Ollmann. "Plutôt que d'infecter les utilisateurs individuellement, un pirate peut effectivement transformer une imprimante en un point d'eau qui infectera tous les appareils Windows qui la touchent."
Les imprimantes n'étant pas toujours prioritaires pour les correctifs et les mises à jour de routine, elles présentent souvent des vulnérabilités ouvertes qui permettent à un pirate de remplacer facilement un pilote d'imprimante légitime par un autre contenant une charge utile malveillante.
Une fois installé, le fichier malveillant s'exécute avec des autorisations au niveau du système, ce qui donne à l'attaquant le contrôle total de la machine. Ce processus peut être répété indéfiniment, infectant chaque nouvel utilisateur qui se connecte à cette imprimante.
"En outre, cette attaque n'a même pas besoin d'une imprimante physique pour être lancée", a déclaré M. Ollmann. "Un attaquant pourrait installer une fausse imprimante sur le réseau et envoyer la charge utile malveillante à tout utilisateur peu méfiant qui s'y connecte.
Un pirate peut également diffuser un pilote d'imprimante malveillant sur Internet sans jamais accéder au réseau local. En exploitant le protocole d'impression Internet (IPP) ou le protocole Microsoft Web Point-and-Print Protocol (MS-WPRN), un pirate peut diffuser le pilote malveillant sur Internet via des vecteurs Web normaux, tels que des sites Web compromis ou des publicités.
"Cette recherche souligne les nombreuses possibilités qu'offrent les appareils IoT, tels que les imprimantes, aux attaquants", a déclaré M. Ollmann. Ces appareils sont rarement évalués pour des failles de sécurité, des portes dérobées ou des menaces de type "watering hole", et représentent un angle mort de plus en plus important pour les réseaux d'entreprise et les réseaux domestiques. Les utilisateurs de Microsoft Windows sont invités à appliquer immédiatement ce correctif critique, car la vulnérabilité risque d'être rapidement exploitée par des pirates."
Vectra a divulgué cette vulnérabilité à Microsoft en avril 2016. Microsoft a catalogué cette vulnérabilité comme critique MS16-087 (CVE-2016-3238) et a publié un correctif aujourd'hui. Les organisations sont encouragées à patcher leurs systèmes Windows immédiatement.
En tant que branche de Vectra Networks spécialisée dans la recherche sur les menaces, le Vectra Threat Labs opère à l'intersection précise de la recherche en sécurité et de la science des données. Les chercheurs étudient les phénomènes inexpliqués observés dans les réseaux des clients et creusent plus profondément pour trouver les raisons sous-jacentes du comportement observé.
Les rapports et les blogs des Vectra Threat Labs se concentrent sur les objectifs de l'attaquant, les placent dans le contexte de la campagne plus large qu'il mène, et donnent un aperçu des moyens durables de détection et d'atténuation des menaces.
Se concentrer sur l'objectif sous-jacent d'un attaquant et réfléchir aux méthodes possibles pour l'atteindre peut conduire à des méthodes de détection qui sont étonnamment efficaces pendant de longues périodes. Pour signaler des vulnérabilités sur notre plateforme, envoyez-nous un courriel à security@vectranetworks.com.
Vectra® Networks est le leader des solutions de gestion automatisée des menaces pour la détection en temps réel des cyberattaques en cours. La solution de l'entreprise met automatiquement en corrélation les menaces contre les hôtes qui font l'objet d'une attaque et fournit un contexte unique sur ce que font les attaquants afin que les organisations puissent rapidement prévenir ou atténuer les pertes. Vectra donne la priorité aux attaques qui présentent le plus grand risque pour l'entreprise, ce qui permet aux organisations de prendre des décisions rapides sur les domaines où elles doivent consacrer du temps et des ressources. En 2015, Gartner a nommé Vectra "Cool Vendor in Security Intelligence" pour sa capacité à relever les défis de la détection des menaces après une intrusion. Les American Business Awards ont également décerné à Vectra le prix Gold Award de la start-up technologique de 2015. Vectra compte parmi ses investisseurs Khosla Ventures, Accel Partners, IA Ventures, AME Cloud Ventures et DAG Ventures. Le siège social de l'entreprise se trouve à San Jose, en Californie, et son siège régional européen à Zurich, en Suisse. De plus amples informations sont disponibles à l'adresse suivante : www.vectranetworks.com.
###
Vectra et le logo de Vectra Networks sont des marques déposées et Security that thinks, Vectra Threat Labs et Threat Certainty Index sont des marques de Vectra Networks. Les autres marques, noms de produits et de services sont des marques commerciales, des marques déposées ou des marques de service de leurs détenteurs respectifs.