Google partage une preuve de concept d’un exploit de Windows

0

Project Zero, l’équipe de recherche de bogues de Google, a partagé des détails techniques et une preuve de concept de code d’exploitation pour une faille critique d’exécution de code à distance affectant un composant graphique de Windows.

Les chercheurs de Project Zero ont découvert la vulnérabilité, identifiée comme CVE-2021-24093, dans une API Windows de traitement de texte nommé Microsoft DirectWrite.

Ils ont signalé la faille de sécurité au Microsoft Security Response Center en Novembre. L’entreprise a publié des mises à jour de sécurité pour y remédier sur toutes les plateformes vulnérables le 9 février, lors du Patch Tuesday du mois dernier.

Cette faille impacte Windows 10 jusqu’à la version 20H2

La faille de sécurité affecte plusieurs versions de Windows 10 et Windows Server jusqu’à la version 20H2, la dernière version publiée.

Après la date limite de divulgation de 90 jours, Project Zero a publié une preuve de concept du code d’exploitation qui peut être utilisé pour reproduire la vulnérabilité dans les navigateurs fonctionnant sur des systèmes Windows 10 1909 entièrement patchés.

« Ci-joint est la preuve de concept en police TrueType avec un fichier HTML qui l’intègre et affiche le caractère AE », ont déclaré les chercheurs.

« Il reproduit le crash montré ci-dessus sur une version de Windows 10 1909 entièrement mis à jour, dans tous les principaux navigateurs Web. La police elle-même inclut uniquement le glyphe défectueux et ses dépendances. »

Du débordement de tampon à l’exécution de code à distance

L’API DirectWrite est utilisée pour traiter les glyphes de polices web par les principaux navigateurs Web tels que Chrome, Firefox et Edge.

Étant donné que ces navigateurs Web utilisent l’API DirectWrite pour le traitement des polices, la faille de sécurité peut être exploitée par les attaquants pour déclencher un état de corruption de mémoire qui peut leur permettre d’exécuter du code arbitraire à distance sur les systèmes ciblés.

Les pirates informatiques peuvent exploiter CVE-2021-24093 en poussant des cibles à visiter des sites Web avec des polices TrueType malveillantes qui déclenchent un débordement de tampon du tas dans la fonction fsg_ExecuteGlyph de l’API.

Google a corrigé une faille zero-day exploitée activement dans la populaire bibliothèque de traitement de texte FreeType utilisée pour cibler les utilisateurs de Chrome.

En novembre, Microsoft a également corrigé une faille zero-day du kernel de Windows activement exploité dans des attaques ciblées et rendu public par Project Zero un mois plus tôt.

Laisser un commentaire