Windows: un bug zero-day n’a pas été patché correctement

Une faille zero-day de haute gravité sur Windows pourrait mené à une prise de contrôle complète après qu’un «correctif» de Microsoft n’ait pas réussi à la corriger de manière adéquate.

La faille locale d’élévation des privilèges dans Windows 8.1 et Windows 10 (CVE-2020-0986) existe dans l’API Print Spooler. Cela pourrait permettre à un attaquant local d’élever des privilèges et d’exécuter du code dans le contexte de l’utilisateur actuel, selon l’avis de Microsoft publié en Juin. Un attaquant devrait d’abord se connecter au système, mais pourrait ensuite exécuter une application spécialement conçue pour prendre le contrôle d’un système affecté.

«Le problème survient parce que le noyau Windows ne parvient pas à gérer correctement les objets en mémoire», a déclaré la société. «Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau. Un attaquant pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou créez de nouveaux comptes avec tous les droits d’utilisateur. »

La faille a un score de 8,3 sur 10 sur l’échelle de gravité de vulnérabilité CVSS.

windows

D’un point de vue plus technique, «la faille spécifique se trouve dans le processus hôte du pilote d’imprimante de mode utilisateur splwow64.exe», selon un avis de Zero Day Initiative (ZDI) de Trend Micro, qui a signalé la faille à Microsoft en Décembre dernier. «Le problème résulte du manque de validation correcte d’une valeur fournie par l’utilisateur avant de la déréférencer en tant que pointeur.»

Le problème est resté sans correction pendant six mois. Pendant ce temps, Kaspersky a observé qu’il était exploité dans la nature en Mai contre une société sud-coréenne, dans le cadre d’une chaîne d’exploit qui utilisait également un bug zero-day d’exécution de code à distance dans Internet Explorer. Cette campagne, baptisée Operation Powerfall, aurait été lancée par le groupe APT connu sous le nom de Darkhotel.

Cette faille de Windows n’a pas été patché correctement

La mise à jour du mois de Juin de Microsoft incluait un correctif qui «corrige la vulnérabilité en corrigeant la façon dont le noyau Windows gère les objets en mémoire». Cependant, Maddie Stone, chercheuse chez Google Project Zero, a maintenant révélé que le correctif était défectueux, après que Microsoft n’ait pas réussi à le corriger dans les 90 jours suivant l’alerte du problème.

«Microsoft a déployé un correctif en Juin, mais ce correctif n’a pas résolu le problème», a-t-elle tweeté. « Après avoir signalé cette mauvaise solution en Septembre et après un délai de 90 jours, elle n’est toujours pas résolue. »

microsoft windows

Elle a ajouté: « Le problème initial était une déréférence de pointeur arbitraire qui permettait à l’attaquant de contrôler les pointeurs src et dest vers un memcpy. Le «correctif» a simplement changé les pointeurs en décalages, ce qui permet toujours de contrôler les arguments du memcpy. »

Microsoft a publié un nouveau CVE, CVE-2020-17008, et les chercheurs s’attendent à un correctif ce mois-ci. Pendant ce temps, Project Zero a publié un code public de validation de principe(proof-of-concept) pour le problème.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x