La bourse ferme dans 1 h 45 min
  • CAC 40

    6 839,79
    +100,06 (+1,48 %)
     
  • Euro Stoxx 50

    4 148,65
    +59,07 (+1,44 %)
     
  • Dow Jones

    35 084,91
    +185,57 (+0,53 %)
     
  • EUR/USD

    1,1274
    -0,0046 (-0,41 %)
     
  • Gold future

    1 789,20
    +1,10 (+0,06 %)
     
  • BTC-EUR

    50 679,51
    +2 100,27 (+4,32 %)
     
  • CMC Crypto 200

    1 432,19
    +3,26 (+0,23 %)
     
  • Pétrole WTI

    72,55
    +4,40 (+6,46 %)
     
  • DAX

    15 397,00
    +139,96 (+0,92 %)
     
  • FTSE 100

    7 157,79
    +113,76 (+1,61 %)
     
  • Nasdaq

    15 684,16
    +192,50 (+1,24 %)
     
  • S&P 500

    4 639,16
    +44,54 (+0,97 %)
     
  • Nikkei 225

    28 283,92
    -467,70 (-1,63 %)
     
  • HANG SENG

    23 852,24
    -228,28 (-0,95 %)
     
  • GBP/USD

    1,3310
    -0,0029 (-0,22 %)
     

Cette faille dans Windows vous permet de prendre le contrôle de n'importe quel ordinateur !

·2 min de lecture

On sait qu’il est indispensable d’appliquer les dernières mises à jour de sécurité de Windows, mais parfois le remède est pire que le mal. C’est précisément le cas de la dernière mise à jour de sécurité de novembre identifiée comme CVE-2021-41379 venant corriger une faille de sécurité. Cette dernière pouvait permettre d'augmenter les privilèges d’un compte afin de prendre le contrôle d’un ordinateur animé par Windows 10, Windows 11 et Server. Mais Abdelhamid Naceri, un chercheur en cybersécurité s’est rendu compte qu’avec le correctif de cette vulnérabilité, il est désormais possible d’obtenir plus de privilèges que sur la mise à jour originelle.

En la contournant, il est ainsi possible d’ouvrir l’invite de commande avec le plus haut niveau de privilèges, même sur un ordinateur dont le compte est bridé en mode dit « Standard ». Ce mode ne permet pas normalement à l’utilisateur d’installer quoique ce soit par mesure de sécurité.

Grosse réduction du bug bounty chez Microsoft

Le site BleepingComputer a testé le malware InstallerFileTakeOver déployé par le chercheur, et il n'a effectivement fallu que quelques secondes pour obtenir l’intégralité des privilèges sur un ordinateur dont le compte était réglé en mode Standard. Plus que la découverte de cette vulnérabilité zero-day, il y a la manière dont elle a été divulguée. Contrairement à la pratique, le chercheur a décidé de diffuser publiquement sa découverte et sa méthode. Il a justifié son geste en réaction face à la réduction drastique des primes, autrement appelées « bug bounty », données aux hackers éthiques et qui a été appliquée par Microsoft en avril 2020. En attendant, malgré la divulgation de cette faille, Microsoft n’a pas encore publié de correctif.

> Lire la suite sur Futura

À lire aussi sur Futura

Notre objectif est de créer un endroit sûr et engageant pour que les utilisateurs communiquent entre eux en fonction de leurs centres d’intérêt et de leurs passions. Afin d'améliorer l’expérience dans notre communauté, nous suspendons temporairement les commentaires d'articles