Des pirates ont créé des logiciels malveillants dans le but d’exploiter une vulnérabilité d’élévation de privilège dans le programme d’installation Windows de Microsoft.
Microsoft a publié un correctif pour CVE-2021-41379, une faille d’élévation de privilèges dans le composant Windows Installer pour le déploiement d’applications d’entreprise.
Elle a reçu la note « important » et un score de gravité de 5,5 sur 10.
La faille est activement exploitée
Elle n’était pas activement exploitée à l’époque, mais elle l’est maintenant, selon les chercheurs en logiciels malveillants Talos de Cisco. Et Cisco rapporte que le bug peut être exploité même sur des systèmes dotés du correctif de novembre, pour donner à un attaquant des privilèges de niveau administrateur.
Cela contredit toutefois l’évaluation de Microsoft selon laquelle un attaquant ne pourrait que supprimer les fichiers ciblés sur un système et n’obtiendrait pas les privilèges nécessaires pour afficher ou modifier le contenu des fichiers.
« Cette vulnérabilité permet à un attaquant disposant d’un compte d’utilisateur limité d’élever ses privilèges pour devenir administrateur », explique Jaeson Schultz, de Cisco Talos.
Toutes les versions de Windows sont affectées
« Cette vulnérabilité affecte toutes les versions de Microsoft Windows, y compris les versions entièrement corrigées de Windows 11 et Server 2022. Talos a déjà détecté, dans des échantillons, des logiciels malveillants qui tentent de tirer parti de cette vulnérabilité. »
Abdelhamid Naceri, le chercheur qui a signalé la faille CVE-2021-41379 à Microsoft, a testé les systèmes corrigés et a publié le 22 novembre le code d’exploitation de la preuve de concept sur GitHub, montrant qu’il fonctionne malgré les correctifs de Microsoft. Il fonctionne également sur les versions serveur de Windows affectées, y compris Windows Server 2022.
« Le code publié par Abdelhamid Naceri exploite la liste de contrôle d’accès (DACL) pour le service d’élévation Microsoft Edge afin de remplacer tout fichier exécutable sur le système par un fichier MSI, ce qui permettrait à un attaquant d’exécuter du code en tant qu’administrateur », écrit Jaeson Schultz, de Cisco.
En attente d’un nouveau correctif de Microsoft
Il ajoute que ce « code d’exploitation de preuve de concept fonctionnel va certainement conduire à des exploitations supplémentaires de cette vulnérabilité ».
Abdelhamid Naceri indique qu’il n’y a pas de solution de contournement pour ce bug autre qu’un autre patch de Microsoft. « En raison de la complexité de cette vulnérabilité, toute tentative de patcher directement le binaire cassera Windows Installer. Vous feriez donc mieux d’attendre et de voir comment/si Microsoft va encore rater le correctif », prévient Abdelhamid Naceri.
Microsoft n’a pas encore reconnu la nouvelle preuve de concept de Abdelhamid Naceri, et n’a pas encore annoncé de nouveau correctif pour cette vulnérabilité.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));