Microsoft travaille sur la correction d’une nouvelle classe de bugs

Microsoft travaille sur le développement d’une atténuation complète pour une classe de bug Windows qui affectent le système d’exploitation depuis plus de deux décennies.

Le chercheur en sécurité israélien Gil Dabah a déclaré à ZDNet qu’un correctif était actuellement en préparation.

Plus tôt dans la journée, Dabah a publié une preuve de concept et un rapport détaillant 25 bugs, exploitant tous des variantes du même type de vulnérabilité.

Ces bugs affectent l’ancien composant Win32k

Le travail de Dabah s’étend sur une surface d’attaque du système d’exploitation Windows connue depuis le milieu des années 90. Cette classe de vulnérabilité affecte Win32k, un composant Windows qui gère l’interface utilisateur sur les architectures Windows 32 bits et les interactions entre les éléments d’interface utilisateur, les pilotes et le système d’exploitation/noyau Windows.

This month I am going to submit around 15 0ds to msft. Wooot

— Gil Dabah (@_arkon) April 1, 2019

Aujourd’hui, le composant Win32k est toujours livré avec Windows, même sur les versions 64 bits, où il agit comme une couche de gestion des applications legacy, permettant aux anciennes applications de s’exécuter sur des systèmes modernes.

Mais le problème vient de l’évolution de ce composant. Dans les versions antérieures de Windows, ce composant s’exécutait dans la section en mode utilisateur du système d’exploitation Windows.

 

Lorsque Microsoft s’est finalement rendu compte qu’il s’agissait d’un composant crucial et qu’il devait fonctionner en mode noyau plus sécurisé, il était déjà trop tard, car le composant avait augmenté en taille et en complexité, et une réécriture complète aurait rompu la rétrocompatibilité pour des milliers d’applications 32 bits.

Aujourd’hui, le composant Win32k est un vrai fourre-tout. Certaines opérations se produisent entièrement dans l’espace du noyau, tandis que d’autres sections reposent sur des parties plus anciennes de la base de code.

Ces anciennes fonctions Win32k sont toutes préfixées de “xxx” et lorsqu’elles sont appelées, elles sont envoyées du mode noyau sécurisé au mode utilisateur, et le résultat est renvoyé dans l’espace noyau.

Les attaquants et les chercheurs en sécurité ont rapidement détecté la faiblesse de ce modèle d’exécution non standard. Les deux ont réalisé qu’ils pouvaient altérer le code préfixé xxx de Win32k alors qu’il était en mémoire en mode utilisateur, et tromper le noyau en exécutant des actions indésirables avec des privilèges élevés lorsque les résultats de la fonction xxx étaient retournés au noyau.

Depuis plus d’une décennie, les chercheurs en sécurité ont détaillé de nombreuses méthodes et techniques pour insérer du code malveillant dans le composant Win32k et obtenir les droits d’administrateur. Les premières recherches sur le sujet remontent à 2008 et 2011.

Un défi sur un an

Dans une interview aujourd’hui, Dabah a déclaré à ZDNet qu’il y a exactement un an, jour pour jour, il a cherché une nouvelle façon d’exploiter ces types de bugs, se mettant au défi de découvrir plus de 15 bugs différents dans le composant Win32k.

Aujourd’hui, le chercheur a relevé ce défi en publiant un rapport de 34 pages détaillant plusieurs méthodes inédites pour obtenir une élévation de privilèges via le composant Win32k.

Au total, le chercheur a trouvé 25 bugs différents, dont certains fonctionnaient même sur les dernières versions de Windows 10, des tests ont été conduits sur la version Windows Insider Preview de septembre 2019.

Sur les 25 bugs, Dabah a déclaré que “11 ont permis de prouver la faisabilité d’une élévation de privilèges (EOP)”. Ces 11 ont obtenu des correctifs de Microsoft, qui publie lentement des correctifs depuis novembre 2019, les correctifs les plus récents étant arrivés en février de cette année.

Un processus de patch difficile

Mais alors que de nombreux chercheurs en sécurité sont généralement mécontents de la façon dont Microsoft corrige les problèmes de sécurité, Dabah a déclaré que le fabricant du système d’exploitation avait fait ici un excellent travail, compte tenu de la base de code extrêmement ancienne.

“Les gens pensent normalement qu’il est facile d’aller toucher un logiciel vieux de 30 ans, mais c’est comme le plus grand défi que personne n’imaginait”, a déclaré Dabah à ZDNet. “Parlant un peu de ma propre expérience dans ce domaine également.”

Dabah dit que Microsoft “développe actuellement une large atténuation pour résoudre cette classe de bugs une fois pour toutes.” Cette atténuation est actuellement dans la version WIP (Windows Insider Preview), a déclaré Dabah.

Une fois cette atténuation mise en service, Dabah espère que cela préviendra tous les autres bugs de la même classe de vulnérabilité, même ceux qui n’ont pas encore été découverts ou documentés.

Le rapport de Dabah, qui a reçu des éloges de la communauté de la sécurité de l’information, est disponible en téléchargement au format PDF. Le code de preuve de concept pour 13 des 25 bugs est disponible sur GitHub.

Phenomenal work. After 15 years of Windows Internals courses, the one part where people still look at me in disbelief and “he must be exaggerating” is when we go over the locking scheme in win32k and user mode callbacks. Even after @j00ru @gynvael and @kernelpool. And now @_arkon https://t.co/EtK6OEu9UQ

— Alex Ionescu (@aionescu) April 1, 2020

Source : ZDNet.com