Une faille de sécurité de contrebande de code dans Windows n’a été corrigée qu’à moitié

Les chercheurs de positive.security ont découvert des vulnérabilités dans Windows 10 et 11 dans le gestionnaire URI pour le type ms-officecmd: ont été détectées. Celui-ci peut être subordonné à n’importe quel argument. Les gestionnaires URI peuvent être considérés comme des liens qui appellent des programmes liés au protocole au lieu de pages Web.

Un logiciel de preuve de concept (PoC) basé sur ce principe a démontré l’exploitation de la faille de sécurité pour introduire du code arbitraire – dans Internet Explorer 11 ou Edge Legacy sans interaction de l’utilisateur, simplement en surfant sur une page Web « malveillante ». L’exemple concret utilisait une équipe Microsoft installée qui devait être lancée via un appel de gestionnaire URI manipulé. Au lieu de cela, le code téléchargé automatiquement s’est exécuté.

Dans un article de blog, les membres de positive.security décrivent en détail comment ils ont découvert les failles et comment ils ont communiqué avec les équipes de sécurité de Microsoft. Selon eux, un premier correctif a rendu le code de preuve de concept inutile sans interaction de l’utilisateur. D’autres programmes, comme le navigateur web Chrome, pouvaient ainsi encore glisser du code arbitraire, mais nécessitaient pour cela une confirmation de l’utilisateur. Une autre mise à jour de Microsoft devrait ensuite permettre de corriger d’autres failles dans le système d’exploitation. ms-officecmd:-URI-Handler. Selon positive.security, cela n’a toutefois pas encore été complètement réussi à ce jour ; un deuxième PoC – avec interaction de l’utilisateur – fonctionne toujours.

Positive.security explique qu’ils ont décidé de trouver une vulnérabilité d’exécution de code malveillant dans un gestionnaire d’URI Windows 10 standard et qu’ils ont réussi en deux semaines. « Compte tenu de la quantité de gestionnaires d’URI avec lesquels Windows est livré, il est très probable que d’autres soient également vulnérables », expliquent encore les chercheurs.

Le groupe se dispute toutefois avec Microsoft sur le montant de la prime. Microsoft offre jusqu’à 50 000 dollars américains pour les vulnérabilités qui peuvent conduire à l’exécution de codes malveillants sans autre intervention de l’utilisateur. Positive.security n’a toutefois reçu que 5.000 dollars US pour des vulnérabilités « ordinaires ». Suite à une plainte, Microsoft a fait valoir que IE11 et Edge Legacy ne faisaient plus partie de ce programme de mise à prix.

Un autre point litigieux est l’absence d’entrée CVE pour la vulnérabilité et donc l’absence de communication publique. La firme de Redmond explique ici que l’attribution de numéros CVE n’est prévue que pour les mises à jour via Windows Update. Les modifications de pages Web, les téléchargements via Defender ou le Store n’ont pas reçu d’entrées CVE dans la même mesure. Microsoft a apparemment distribué les mises à jour de l’URI Handler par ces derniers moyens.

Les analystes de positive-security ont déjà découvert au printemps des failles de sécurité similaires dans LibreOffice, VLC Co. Les liens n’étaient pas suffisamment vérifiés et permettaient ainsi des attaques de codes malveillants.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici