Produits Microsoft, CCleaner : pourquoi est-il urgent de patcher ?

Alors pourquoi est-il aussi urgent d’appliquer ces nouvelles mises à jour de sécurité me direz-vous ? Au delà du fait qu’il faut que cela devienne un automatisme, ce « Patch Tuesday » contient pas moins de 82 rustines (dont 27 mises à jours qualifiées de critiques) pour de nombreux produits Microsoft toujours majoritairement présents dans nos SIH.
Mais surtout, car une vulnérabilité .Net Framework dans toutes ses versions sur tous systèmes (CVE-2017-8759) permettant l’exécution de code arbitraire est déjà utilisée dans la distribution du logiciel malveillant FinFisher (également connu sous le nom de WingBird), variante de l’espiongiciel FinSpy déjà découvert par FireEye en avril dernier. En ce qui concerne la distribution de ce malware, on reste dans du classique avec un document Word servant de « dropper » pour le téléchargement d’un script Visual Basic qui établi la connexion au serveur de commandes et de contrôle. 

Le 18 septembre, Piriform annonce sur son blog que la version 5.33 de CCleaner 32 bits pour Windows, distribuée entre le 15 août et le 12 septembre contenait un logiciel malveillant. Ça fait plutôt mauvais genre pour l’éditeur de solutions de sécurité Avast qui a récemment acquis l’éditeur Piriform. Même si le serveur de commandes et de contrôle auquel se connectait le logiciel malveillant semble désormais hors service, dans le doute, c’est mieux de patcher pour ceux qui utiliseraient la version gratuite dépourvue des mises à jour automatiques.
Nous avons vu le mois dernier plusieurs extensions pour le navigateur Chrome, se retrouver elles aussi affectées par des logiciels malveillants. En effet suite à une grosse campagne de spear phishing, plusieurs développeurs d’extensions se sont vu dérober leur accès à leur compte Google, ce qui a permis aux attaquants de publier des applications « infectées » sur le Chrome Web Store avec le compte original de chaque développeur.
Mais l’affaire CCleaner va beaucoup plus loin que ça. Comme le révèlent les chercheurs de la société Talos (Cisco), il ne s’agit pas ici d’un simple piratage d’un compte d’accès à un serveur de téléchargement.
En effet, le fichier binaire de cette version « infectée » de CCleaner a été signé numériquement par un certificat valide appartenant à la société Priform elle même. Ce qui peut laisser entrevoir deux hypothèses : soit que leur processus de chiffrement ait été corrompu, ce qui est déjà très grave, mais plus grave encore, que leur processus de développement pourrait l’être également !

Quand on voit les mauvaises pratiques de certains éditeurs du secteur de la santé en France, qui nous dit qu’il n’y a pas déjà un cheval de Troie dans certains DPI...