Vulnérabilité détectée dans Kernel Transaction Manager

18 Déc 2018

Les cybercriminels ne cessent de mettre la pression sur Windows, et de le tester ; quant à nos technologies de protection, elles continuent de détecter leurs tentatives, et d’empêcher ces exploitations. Malheureusement, au cours de ces trois derniers mois, ce n’est pas la première, ni la seconde fois que nous découvrons ce genre d’actions. Cette fois, nos systèmes ont trouvé qu’ils essayaient d’exploiter la vulnérabilité Kernel Transaction Manager de Windows.

Cette nouvelle exploitation zero-day a visé plusieurs victimes au Proche-Orient, et en Asie. La vulnérabilité exploitée, CVE-2018-8611, permettait d’élever les privilèges lorsque le noyau Windows ne parvenait pas à traiter correctement les objets en mémoire. Par conséquent, les malfaiteurs pouvaient exécuter un code arbitraire en mode noyau.

En pratique, cela signifie que les pirates informatiques pouvaient installer des programmes, modifier ou afficher des données, voire créer de nouveaux comptes. Selon nos experts, il était également possible d’utiliser l’exploit pour transférer la sandbox vers les navigateurs Internet modernes, comme Chrome ou Edge. Si vous souhaitez obtenir plus de renseignements techniques, alors lisez l’article que nous avons publié sur Securelist. Nos clients peuvent également trouver plus d’informations sur la vulnérabilité CVE-2018-8611, et sur les personnes qui ont essayé de l’exploiter, en consultant nos rapports Kaspersky Intelligence. Envoyez un e-mail à intelreports@kaspersky.com pour obtenir un exemplaire.

Nos experts ont signalé cette vulnérabilité aux développeurs, et Microsoft a tout simplement lancé le patch correspondant. Grâce à cette correction, le noyau Windows gère différemment les objets en mémoire.

Comment vous protéger

Là encore, voici quelques conseils généraux à appliquer en cas de vulnérabilité :

  • Ce n’est pas parce que l’exploit a trouvé peu de victimes jusqu’à présent, que vous devez vous sentir en sécurité. Maintenant qu’il été révélé, plus de cybercriminels pourraient essayer de l’exploiter, alors installez immédiatement le patch.
  • Mettez régulièrement à jour tous les logiciels utilisés par votre entreprise.
  • Utilisez des produits de sécurité qui puissent évaluer automatiquement les vulnérabilités, et gérer les patchs.
  • Installez une solution de sécurité qui puisse détecter les vulnérabilités selon leur comportement, afin de vous protéger efficacement des menaces inconnues, y compris des exploits zero-day.

Encore une fois, il ne faut pas oublier que cette vulnérabilité était inconnue jusqu’à ce que nos technologies de protection découvrent l’exploit. Par conséquent, nous pouvons vous recommander certains produits en particulier qui peuvent vous aider à garantir votre sécurité. Il s’agit d’abord de notre solution Kaspersky Anti Targeted Attack Platform, spécialement conçue pour vous protéger des menaces APT, grâce à un système avancé de sandboxing et une protection contre les malwares. Ensuite, nous vous proposons Kaspersky Endpoint Security for Business, qui intègre une technologie automatique de prévention des exploits. C’est d’ailleurs ce système qui a détecté la vulnérabilité CVE-2018-8611.