Windows : une faille vieille de 17 ans permet aux hackers de prendre le contrôle de n’importe quel PC

Une faille qui n’est pas des moindres a été découverte dans Windows par des chercheurs en sécurité. Vieille de plus de 17 ans, elle permettait aux hackers de prendre le contrôle de n’importe quel PC à distance et d’y injecter des malwares. Elle n’avait jamais fait l’objet d’un patch correctif avant le 14 novembre 2017, ce qui semble indiquer que Microsoft n’en avait pas connaissance jusqu’à très récemment.

On le sait, Windows n’est pas l’OS le plus sécurisé au monde. Loin s’en faut. Des failles de sécurité son régulièrement corrigées par Microsoft qui est d’ailleurs souvent critiqué pour son manque de réactivité. Et c’est encore pire pour les anciennes versions de son système. Un chercheur de Google a récemment montré comment la firme de Redmond compromet la sécurité des utilisateurs de Windows 7 en laissant traîner des failles, ce qui met l’OS à la merci des hackers.
Il n’est toutefois pas vraisemblable que Microsoft ait attendu 17 ans pour déployer le correctif d’une faille dont il avait connaissance, surtout quand elle est d’une ampleur aussi énorme que celle qu’ont récemment dévoilée les sociétés Embedi et Fortinet.

Windows : une vieille faille permettait aux hackers de prendre le contrôle d’un PC à distance

La faille qui touchait précisément la suite Microsoft Office permettait à toute personne mal intentionnée de prendre le contrôle d’un PC sous Windows à distance. Toutes les versions récentes du système sont donc concernées : de Windows 7 à Windows 10 en passant par Windows 8. Baptisée CVE-2017-11882, cette vulnérabilité affectait les versions d’Office et de Windows depuis 2000.
Elle se trouvait dans l’exécutable EQNEDT32 qui permet de gérer des fonctions et équations dans Word. Depuis 2007, le composant est devenu obsolète, les méthodes pour gérer les équations ayant changé. EQNEDT32 n’a toutefois pas été supprimé de la suite, sans doute par souci de compatibilité avec les anciens documents.
La faille a été corrigée le 14 novembre par Microsoft, après avoir été révélée par la société de sécurité informatique Embedi. Et pour ceux qui n’auraient pas effectué les dernières mises à jour système, une autre société vient de dévoiler une campagne malveillante qui exploite cette faille pour infecter des PC avec le malware Cobalt, connu pour dérober les données de carte bancaire.
La première étape de l’attaque repose sur le phishing. Les hackers envoient un email censé provenir de l’entreprise Visa. Le destinataire est invité à télécharger un fichier compressé, puis à le déverrouiller avec un mot de passe fourni dans le mail. L’extraction du pack déclenche un script PowerShell en tâche de fond. Celui-ci télécharge le Cobalt qui s’installe tout discrètement sur le système.
Pour éviter une telle attaque, n’oubliez pas nos 10 conseils pour se protéger des virus et hackers, la première étape étant de maintenir son système à jour.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Softonic s'entretient avec ... Le fondateur et PDG de Zig, Josh James

Image
À première vue,  Josh James  ressemble à un autre directeur musical qui se lance dans l'espace technologique.  Et pourquoi pas?  De Dr Dre et Jimmy Iovine mordu d'  Apple  à l'investissement de Snoop Dog dans l'application de conversion de sport  GameOn  , la vérification de la technologie est grande et apparemment sans limites.  En tant qu'ancien SVP de Live Music pour Warner Music et fondateur de BaseCamp Productions où il a amené des méga-talents comme Pearl Jam, Linkin Park, Jay Z et Kendrick Lamar, Josh James était clairement le go-to guy en musique.  Mais sa nouvelle entreprise,  ZIG,  joue davantage sur sa passion pour la consommation des médias numériques que sur le cliché des applications informatiques. Au cours de mon récent entretien avec James, il était à la fois humble et étourdi par le récent lancement de sa nouvelle entreprise, ZIG.  ZIG est une plate-forme de contenu multimédia mobile qui recueille des millions d'articles, de photos, de vidéos et
Lire la suite

Comment savoir si une application peut être téléchargée en toute sécurité

Image
Il devient de plus en plus difficile - et dangereux - de naviguer dans le monde en ligne. Avec des menaces allant de  programmes malveillants qui volent votre identité  à des codes cachés qui, lorsqu'ils sont exécutés,  retiennent vos données pour une rançon  , l'utilisateur moyen de l'ordinateur fait face à plus de dangers que jamais auparavant. Pire encore, l'idée que ces menaces peuvent provenir de presque n'importe quel site et, dans certains cas, s'incorporer secrètement dans des logiciels légitimes. Vous pouvez prendre de nombreuses mesures pour protéger votre système, votre identité et vos ressources numériques.  Il existe également de nombreux utilitaires réputés  sur  lesquels  vous pouvez  compter pour identifier les menaces potentielles  et les supprimer de votre PC aussi rapidement et efficacement que possible. Bien que votre PC ne soit jamais complètement imperméable aux effets des virus et des logiciels malveillants, un peu de diligence, de planifi
Lire la suite

Majuscules avec accent : comment les faire sur un clavier AZERTY

Image
Le clavier AZERTY permet de saisir facilement certaines voyelles accentuées. Mais pour d’autres, la tâche devient un peu plus laborieuse, qu’il s’agisse d’une minuscule ou d’une majuscule avec accent. Pareil pour le c cédille majuscule (Ç) et pour d’autres caractères spéciaux. Voici comment les réaliser facilement. Comment faire une majuscule avec accent flottant En majuscule (ou en capitale), toutes les voyelles accentuées ( É, Ê, À …) ne se réalisent que de manière flottante, contrairement à leur forme minuscule dont on peut saisir certaines directement  sur un clavier AZERTY  (é, è, à, ù). Pour les autres voyelles, il faut les saisir en deux étapes au moins, que ce soit dans leur forme minuscule ou majuscule. Avec l’habitude, cela devient un réflexe quand on connait les combinaisons de touches : Accent aigu  : Ctrl + ‘ (touche numérique « 4 » en haut du clavier) puis saisir la lettre. Accent grave  : Ctrl + Alt + ` (touche numérique « 7 » en haut du clavier) puis saisir la lettre. A
Lire la suite