AccueilSécuritéExtension des droits par le logiciel de sauvegarde Acronis True Image

Extension des droits par le logiciel de sauvegarde Acronis True Image

Des attaquants auraient pu étendre leurs droits sur le système grâce à des failles de sécurité dans le logiciel de sauvegarde Acronis True Image 2021. Le fabricant considère les failles en partie comme un risque élevé, en partie comme un risque moyen. D’autres produits concernés ont reçu des mises à jour pour colmater les brèches de sécurité il y a plusieurs mois déjà. Acronis met maintenant à disposition des True Image 2021 avec Mise à jour 6 est une version corrigée.

Les vulnérabilités affectent à la fois les versions Windows et Mac. Outre True Image, elles étaient également présentes dans Acronis Agent, Cyber Protect 15 et Cyber Protect Home Office.

Acronis a répertorié dans son rapport de sécurité pas moins de six erreurs différentes permettant aux attaquants d’étendre leurs droits :

  • Chargement de bibliothèques non signées (sous MacOS, CVE-2022-24115, CVSS 7.4, risque élevé)
  • une condition dite de course au démarrage de l’application (MacOS, CVE-2022-24114, CVSS 7.4, haut)
  • une vulnérabilité de détournement de DLL dans le service Acronis Media Builder (Windows, CVE-2021-44206, CVSS 7.3, haut)
  • une autre vulnérabilité de détournement de DLL (Windows, CVE-2021-44205, CVSS 7.3, haut)
  • Attribution de droits trop étendus aux processus enfants (Windows, CVE-2022-24113, CVSS 7.3, haut)
  • En raison d’un contrôle d’accès insuffisant, les attaquants pourraient étendre leurs droits via des tuyaux nommés (Windows, CVE-2021-44204, CVSS 6.5, moyen).

Toutes les vulnérabilités concernaient également Acronis Cyber Protect Home Office et y ont été corrigées par une mise à jour il y a environ cinq mois. Les deux dernières vulnérabilités se trouvaient également dans Acronis Agent et ont été corrigées avec la version C21.06 il y a environ huit mois ; dans Cyber Protect 15 il y a près de quatre mois.

Acronis n’explique pas pourquoi les mises à jour de True Image 2021 ne sont disponibles que maintenant. Elle souligne dans son message de sécurité qu’elle n’a pas vu jusqu’à présent de signes que les failles étaient exploitées dans la nature. Elle recommande toutefois à tous les utilisateurs d’installer la mise à jour. Les mises à jour peuvent être téléchargées sur la page de mise à jour d’Acronis.

Plus d'articles