Après une mise à jour de Windows : une faille « zero-day » permet une extension locale des droits

Windows contient une faille de sécurité qui aurait dû être corrigée par les mises à jour de novembre. Elle permettait aux utilisateurs locaux d’étendre leurs droits dans le système. Le sujet devrait donc être clos. Mais selon le chercheur en sécurité Abdelhamid Naceri, qui a signalé la faille, celle-ci n’a pas été corrigée correctement, ce qui lui a permis de continuer à manipuler les droits sans autorisation.

La vulnérabilité initiale était déjà une extension de droits dans Windows Installer (CVE-2021-41379), à laquelle Microsoft a attribué un niveau de gravité CVSS 5.5 – risque moyen. Lors de l’analyse du correctif contre cette vulnérabilité, Naceri a, selon ses propres dires, découvert deux autres failles de sécurité. Dans un projet Github, il explique les détails et fournit également un logiciel de preuve de concept (PoC).

Le célèbre expert en sécurité informatique Kevin Beaumont confirme la fonction de l’exploit et donc les failles de sécurité via Twitter.

Selon les explications de Naceri, toutes les versions de Windows actuellement prises en charge sont concernées, y compris Windows 11 et Server 2022. Son exploit de démonstration nommé InstallerFileTakeOver donne également à un utilisateur restreint des droits d’accès à n’importe quel fichier, ce qui équivaut à des droits système. Par précaution, Naceri signale que sa méthode d’exploitation de la faille nécessite le service d’élévation Microsoft Edge DACL, qui pourrait ne pas être disponible sur certaines versions de serveurs.

Pour l’instant, en raison de la complexité de la faille, on ne peut qu’attendre un nouveau correctif efficace de Microsoft, estime Naceri. Toute tentative de patcher directement le fichier exécutable de Windows Installer détruirait ce dernier.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici