La faille CVE-2021-41379 prend des airs de PrintNightmare pour Microsoft.
Cette vulnérabilité a été initialement découverte par le chercheur en sécurité Abdelhamid Naceri. Elle permet une élévation de privilèges sur un appareil fonctionnant sur Windows 10 ou Windows 11.
Un correctif insuffisant
La faille avait pourtant été corrigée par Microsoft dans le Patch Tuesday du mois de novembre. Mais le chercheur a découvert que ce correctif n’était pas suffisant.
En travaillant sur le correctif publié par Microsoft, il est parvenu à trouver un moyen de contourner la protection mise en place par ce patch, ainsi qu’une seconde variante du bug.
Il a publié cette variante lundi sur GitHub : baptisée InstallerFileTakeOver, la vulnérabilité permet de réaliser une élévation de privilèges sur des appareils disposant des dernières mises à jour de sécurité diffusées par Microsoft.
Une variante plus puissante
Comme CVE-2021-41379, InstallerFileTakeOver permet à un attaquant disposant d’un accès à une machine Windows 10, Windows 11 ou Windows Server d’élever ses privilèges en passant d’un compte standard à un niveau de privilège SYSTEM, qui lui donne accès à l’ensemble des fonctionnalités de la machine.
« La preuve de concept écrase le service d’élévation Microsoft Edge DACL, se copie dans l’emplacement du service et l’exécute pour obtenir des privilèges élevés », explique le chercheur.
Il considère également que cette variante est « plus puissante et plus stable » que la faille CVE-2021-41379, et rappelle qu’il a découvert un moyen de contourner les protections implémentées par Microsoft pour cette première faille de sécurité, mais qu’il préfère pour l’instant garder les détails de ce contournement pour lui.
Comme le rapporte Bleeping Computer, Microsoft a de son côté annoncé « avoir connaissance de la vulnérabilité » et promet un futur correctif de ce fichier, mais rappelle qu’un attaquant souhaitant exploiter cette vulnérabilité doit déjà disposer d’un accès et de la capacité à exécuter du code sur la machine ciblée.
« J’ai juste droit à un merci »
Abdelhamid Naceri explique que la divulgation « sauvage » des détails de la vulnérabilité InstallerFileTakeOver a été motivée par la politique de Microsoft en matière de bug bounty. « Avant avril 2020, j’aurais pu espérer une somme entre 8 000 et 20 000 dollars pour une faille de ce type. Aujourd’hui, j’ai juste droit à un merci », indique le chercheur à ZDNet.
Le sujet des primes offertes par Microsoft dans le cadre de son bug bounty fait grincer des dents les chercheurs en sécurité depuis plusieurs mois. L’ingénieur qui a découvert la faille PrintNightmare en début d’année a ainsi révélé que Microsoft lui avait offert la somme de 5 000 dollars, somme qui lui avait été accordée après qu’il a publié une vidéo montrant la vulnérabilité en action.
D’autres chercheurs ont également exprimé leurs mécontentements à l’égard de la politique de bug bounty de Microsoft, certains estimant notamment que la firme de Redmond néglige le paiement des failles dans certains de ses produits historiques, comme Windows et ses déclinaisons pour serveur, au profit des primes destinées aux failles affectant son écosystème cloud, Azure.
