Windows: une faille zero-day permet d’échapper aux sandbox

Une faille zero-day d’un pilote Windows est exploitée par des pirates informatiques. Cette faille permet l’élévation des privilèges locaux et l’échappement de sandbox.

La faille de sécurité a été révélée par Google Project Zero 7 jours seulement après son signalement, car les cybercriminels l’exploitent déjà, selon les chercheurs.

La faille (CVE-2020-17087) est liée à la façon dont le pilote de cryptographie du noyau Windows (cng.sys) traite le processus de contrôle d’entrée/sortie (IOCTL), qui est un appel système pour les opérations d’entrée/sortie spécifiques au périphérique et d’autres opérations qui ne peut pas être exprimé par des appels système réguliers.

«[Cng.sys] expose un périphérique \Device\CNG à des programmes en mode utilisateur et prend en charge une variété d’IOCTL avec des structures d’entrée non triviales», selon le rapport de la faille, publié récemment. «Nous avons identifié une vulnérabilité dans le traitement de l’IOCTL 0x390400, accessible via [une] série d’appels.»

Avec des requêtes spécialement conçues, un hacker peut déclencher un débordement de tampon, ce qui entraîne un plantage du système et ouvre la porte à l’exploitation.

microsoft internet explorer

«La faille réside dans la fonction cng! CfgAdtpFormatPropertyBlock et est causée par un problème de troncature d’entiers 16 bits», a expliqué l’équipe de Project Zero. “Le débordement d’entier se produit à la ligne 2, et si SourceLength est égal ou supérieur à 0x2AAB, une mémoire tampon trop petite est allouée à partir du NonPagedPool à la ligne 3. Elle est ensuite dépassée par la boucle de conversion binaire-hexadécimale des lignes 5 à 10 par un multiple de 65 536 octets. »

L’équipe de chercheurs a mis au point une preuve de concept qui montre la facilité de déclencher une attaque de ce type. Cet exploit a fonctionné sur une version à jour de Windows 10 1903 (64 bits), mais les chercheurs ont déclaré que la faille semble affecter d’anciennes versions de Windows jusqu’à Windows 7.

windows

«Un plantage est plus facile à reproduire avec les pools spéciaux activés pour cng.sys, mais même dans la configuration par défaut, la corruption de 64 Ko de données du noyau plantera presque sûrement le système peu de temps après l’exécution de l’exploit», selon Project Zero.

Le directeur du groupe d’analyse des menaces de Google, Shane Huntley, a déclaré dans la divulgation que les attaques sont ciblées et n’ont aucun lien avec un ciblage lié aux élections américaines. Un autre membre de l’équipe de Project Zero a noté que Microsoft devrait corriger la vulnérabilité lors de sa mise à jour Patch Tuesday du 10 novembre.

Une divulgation trop rapide de cette faille de Windows?

Certains ont critiqué le court délai de divulgation, mais les chercheurs du Projet Zéro, Ben Hawkes et Tavis Ormandy, ont défendu cette décision sur Twitter.

Ormandy a noté: «Votre attaque est plus susceptible d’être détectée si vous essayez d’utiliser des vulnérabilités documentées, car les gens savent ce qu’il faut rechercher. Les autres détails de votre attaque seront ensuite analysés. »

Mateusz Jurczyk et Sergei Glazunov de Google Project Zero ont été crédités pour avoir trouvé la faille de sécurité.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x