Une faille 0-day de Windows 7 et Windows Server 2008 divulguée accidentellement

Une faille 0-day de Windows 7 et Windows Server 2008 divulguée accidentellement

Un chercheur français en sécurité a accidentellement découvert une vulnérabilité zero day affectant les systèmes d’exploitation Windows 7 et Windows Server 2008 R2 alors qu’il travaillait sur la mise à jour d’un outil de sécurité Windows.

La vulnérabilité réside dans deux clés de registre mal configurées pour les services RPC Endpoint Mapper et DNSCache, présents sur toutes les installations Windows.

publicité

  • HKLM\\SYSTEM\CurrentControlSet\\Services\\RpcEptMapper
  • HKLM\\SYSTEM\CurrentControlSet\\Services\\NDnscache

Le chercheur en sécurité Clément Labro affirme qu’un attaquant ayant préalablement pris pied sur des systèmes vulnérables peut modifier ces clés de registre pour activer une sous-clé habituellement utilisée par le mécanisme de surveillance des performances de Windows.

Les sous-clés “Performance” sont généralement utilisées pour surveiller les performances d’une application. En raison de leur rôle, elles permettent également aux développeurs de charger leurs propres fichiers DLL pour suivre les performances à l’aide d’outils personnalisés.

Alors que sur les versions récentes de Windows, ces DLL sont généralement restreintes et chargées avec des privilèges limités, Labro a découvert que sur Windows 7 et Windows Server 2008, il était encore possible de charger des DLL personnalisées qui fonctionnent avec des privilèges de niveau SYSTEM.

Divulgation accidentelle

Si la plupart des chercheurs en sécurité signalent en privé à Microsoft les problèmes de sécurité comme celui-ci, le cas de cette vulnérabilité est différent.

Labro a expliqué avoir découvert cette faille zero day après avoir publié la mise à jour de PrivescCheck, un outil permettant de vérifier les erreurs de configuration de la sécurité de Windows qui peuvent être utilisées par les logiciels malveillants pour l’élévation de privilèges.

La mise à jour, publiée le mois dernier, a ajouté la prise en charge d’un nouvel ensemble de contrôles pour les techniques d’élévation de privilèges.

Labro a déclaré qu’il ne savait pas que ces nouveaux contrôles mettaient en évidence une nouvelle méthode d’élévation de privilèges non corrigée, jusqu’à ce qu’il commence à enquêter sur une série d’alertes apparaissant sur d’anciens systèmes comme Windows 7, quelques jours après la sortie de sa nouvelle version.

À ce moment-là, il était déjà trop tard pour que le chercheur puisse signaler le problème à Microsoft en privé, et le chercheur a choisi de publier un post de blog sur la nouvelle méthode sur son site personnel à la place.

ZDNet a contacté Microsoft aujourd’hui pour obtenir des commentaires, mais le fabricant du système d’exploitation n’a pas fourni de déclaration officielle avant la publication de cet article.

Windows 7 et Windows Server 2008 R2 sont officiellement en fin de support (EOL) et Microsoft a cessé de fournir des mises à jour de sécurité gratuites. Des programmes de mises à jour de sécurité sont disponibles pour les utilisateurs de Windows 7 par le biais du programme d’assistance payant ESU (Extended Support Updates) de la société, mais un correctif pour ce problème n’a pas encore été publié.

On ne sait pas si Microsoft publiera un correctif pour cette faille de sécurité. Cependant, ACROS Security a déjà mis au point un micro-patch, que la société a publié plus tôt dans la journée. Le micro-patch est installé via le logiciel de sécurité 0patch de l’entreprise et empêche les acteurs malveillants d’exploiter le bug.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *