Le Threat Analysis Group (TAG) de Google est une équipe spécialisée dans la cybersécurité chargée de surveiller et de contrecarrer les attaques de pirates informatiques provenant d’agences soutenues par le gouvernement. Récemment, le TAG a découvert une vulnérabilité critique dans SmartScreen de Microsoft, un service anti-phishing et anti-malware basé sur le cloud qui fait partie intégrante de la sécurité de Windows 10, 11 et du navigateur Edge. La faille de sécurité a permis aux cybercriminels de contourner SmartScreen et a été exploitée pour propager un ransomware appelé Magniber.
Résolution du problème et annonce tardive
Comme c’est souvent le cas dans ce genre de scénario, l’annonce a été faite après que le problème ait été résolu. TAG a identifié la vulnérabilité il y a plusieurs mois, et Microsoft en a été informé à la mi-février.
Un correctif a été publié lors du Patch Tuesday de mars pour Windows 10 et Windows 11. Cette approche est standard dans l’industrie pour minimiser le risque d’encourager les cybercriminels à développer des attaques qui exploitent la vulnérabilité avant qu’un correctif ne soit disponible.
Détails techniques de la vulnérabilité et propagation de Magniber
L’explication technique de la vulnérabilité se trouve dans l’annonce de TAG sur le blog officiel de Google, The Keyword. Il est important de noter que Magniber n’est pas un nouveau ransomware et qu’il a déjà été observé avec d’autres vulnérabilités par le passé. Selon Google, le ransomware a été distribué par l’intermédiaire de fichiers d’installation Windows infectés (avec l’extension MSI). Ces fichiers ont été téléchargés plus de 100 000 fois entre janvier 2023 et aujourd’hui, la majorité des téléchargements ayant eu lieu en Europe. Google a souligné que son navigateur Chrome, utilisant la technologie Safe Browsing, a été en mesure de détecter et d’empêcher environ 90 % de ces téléchargements.
TAG s’est également inquiété d’une tendance croissante dans le secteur de la cybersécurité : la publication de correctifs trop spécifiques et superficiels. En conséquence, les pirates peuvent facilement contourner ces correctifs en créant de nouvelles variantes de logiciels malveillants connus avec relativement peu d’efforts. Le TAG a souligné l’importance de s’attaquer à la cause première des failles de sécurité lors de l’élaboration des correctifs, afin de garantir une protection plus solide et plus efficace contre les menaces informatiques.