Windows : faille 0-day qui passe outre l'UAC

Le vendredi 26 Novembre 2010 à 09:00 par Jérôme G.

Un exploit 0-day d'élévation de privilège découvert dans Windows semble être capable de se jouer de la technologie UAC présente dans Windows Vista et 7.

Microsoft a été mis au courant de cette nouvelle trouvaille, mais n'a pas publié d'avis de sécurité pour le moment. L'enquête est en cours afin d'évaluer une preuve de concept publique notamment apparue sur un forum chinois et repérée par Prevx, une société de sécurité informatique rachetée par Webroot en début de mois.

Sur son blog, Prevx explique qu'une " grave faille " affecte win32k.sys, un pilote de périphérique en mode noyau qui correspond au noyau du sous-système Windows. Cette faille est de type élévation de privilège et permet à des comptes aux droits limités d'exécuter du code arbitraire en mode noyau.

Selon Prevx, Windows XP, Vista et 7 ( 32 et 64-bit ) sont vulnérables à une attaque. L'exploit peut passer outre la protection UAC ( User Account Control ) présente dans Windows Vista et Windows 7. Cette technologie de contrôle du compte utilisateur a justement été implémentée dans Windows Vista et 7 afin de prévenir une élévation incontrôlée des droits utilisateurs.

En dépit de sa publication sur un forum chinois, la faille basée sur une API ( NtGdiEnableEUDC ) n'a pas été utilisée dans le cadre d'une attaque. Mais Prevx se montre plutôt inquiétant : " cela pourrait devenir un cauchemar compte tenu de la nature de la faille. L'exploit devrait être activement utilisé par un malware très rapidement ".

Point qui a tout de même une grande importance, il s'agit d'un exploit d'élévation de privilège, ce qui signifie que le possible malware doit déjà être présent sur l'ordinateur pris pour cible afin d'exploiter la faille. La faille ne peut pas être exploitée à distance.

Sophos a également confirmé la faille, de même que VUPEN Security pour Windows Vista et 7. Un risque modéré lui a été attribué.

Complément d'information

Windows : faille du bureau à distance avec menace de ver

Une vulnérabilité critique dans le protocole Bureau à distance est à corriger pour tous les Windows. Microsoft craint un exploit dans les 30 prochains jours.
Faille Windows 7 : un BSoD via Safari

Une vulnérabilité de sécurité à exploitation immédiate affecte Windows 7 dans son édition 64-bit. Le navigateur Safari sert de vecteur pour provoquer un écran bleu de la mort.

Vidéos High-Tech et Jeu Vidéo

Windows 7 x64 : faille iframe via Safari
Une vulnérabilité de sécurité dans l'édition 64-bit de Windows 7 provoque un BSoD lors...
Démonstration de WebRTC dans Firefox
Démonstration de la technologie WebRTC dans le navigateur Web Firefox.

Plus de vidéos

Questions / Réponses high-tech

Poser une question

Téléchargements

Widgets

Je me forme à Windows 7 : des leçons intuitives pous se former à...
Vous cherchez à comprendre les subtilités de Windows 7 ? Le logiciel Je me forme à...
Widgets

Formation complète à Windows 7 : apprendre à utiliser Windows 7
Vous n’avez pas tout saisie lors de la sortie de Windows 7 et vous aimeriez ne pas...

Plus de téléchargements

Suivez GNT

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !

Trier par : date / pertinence

Hansi

Hors ligne Héroïque

717 points

Inscrit le 12/01/2009
Suivre
Voir le profil
Message privé

Le 26/11/2010 à 10:50 #718331

L'OS parfait n'existe pas et n'existera jamais. Par contre, je suis curieux de savoir en combien de temps ils vont la combler, leur faille...

Sous Linux, une faille de ce genre, c'est sous 24h au niveau du source, et jusqu'a 3 jours pour envoyer la correction en mise a jour auto.

Sous windows, vont-ils attendre une fois de plus le "patch tuesday" pour reagir ?

-1 Répondre en citant Masquer

DMZ

Hors ligne VIP

5235 points

Inscrit le 12/04/2008
Suivre
Voir le profil
Message privé

Le 26/11/2010 à 11:52 #718361

Compte 2/3 semaines vu la faille.
ça m'a toujours fait rire les fichiers système protégés sur windows, un malware et hop, on te dépose un rootkit. c'est ce que je disais hier en plus, l'uac c'est bien mais des qu'un ver en prendra le pouvoir, c'est la cata !!!

Mieux vaut éviter le téléchargement de fichiers quelqu'ils soient en P2P, ou d'ouvrir des mails "inconnus", ce genre de danger on va en avoir un paquet pendant les périodes de noel.

La plus grosse arnaque de Seven,à la différence de w98, W2000 et Xp, c'est que dans certains cas, tu ne peux plus réparer, remplacer les fichiers modifiés, même avec le DVD, il faut ré-installer le tout ou avoir une sauvegarde récente

En cas de fichiers corrompu,MS te file ça :
C:/Windows/Logs/CBS/CBS.log.

A toi de savoir lire un rapport de 1 giga et d'analyser ce qu'il y a...

Uns fois que t'auras pigé ce qu'il ne va pas, MS te dit de faire ça :

sfc /scannow /OFFBOOTDIR=C:\ /OFFWINDIR=C:\windows

Si ça ne marche pas, t'as plus qu'a pleurer

le top du top, c'est en cas d'erreur sur le Netframework (1.1/2.0/2.5/3.0/3.5/4), qui se mettent a jour individuellement, impossible de réparer quoi que ce soit, faut ré-installer et les bidouilles qu'on trouve ici et là ne font qu'empirer les choses. Et je ne parle pas de la nomenclature des disques qui changent en cas de multi-boot et du bootmanager buggué et du journal d'évènements a avaler du doliprane codéiné...

Non franchement on se demande comment sont triés les bétas-testeurs de microsoft, chez marioland sans doute.

Cneux qui comprennet pas, ce n'est pas grave, ceux qui ont eu ces soucis comprendront, je conseille juste de faire des sauvegarde très régulières de fichiers système de Vista/Seven sur une clef, un support externe, un serveur Nas, sur un ftp ou sur une partition linux ZFS (

), et des images ( sauvegardes incrémentales), le plus souvent possible.

Je disais, au début que seven c'etait un truc sympa, 1 an après je corrige, c'est une mauvais OS, à se déchirer les cheveux, c'est pas du tout pour néophite d'ailleurs la communauté de fans windows se sentent obliger de sortir des FIXwin (1.2) etc... ou d'avoir des utilitaires tierces pour tenter de nettoyer le bousin.
Je finis...., la version 64 bits de seven est une version bricolée, pas un OS nativement 64 bits, il n'y a qu'a voir le répertoire winsxs,BT, les profiles, et le dossier APPDATA, les differentes versions qui s'emmèlent....

bref MS va etre obligé de faire un OS cloud computing ( un peu de novell, de Dos ici et là ) sinon le prochain OS de microsoft va imploser, déjà celui-là c'est limite..

Thks de pas avoir tout lu

> Compte 2/3 semaines vu la faille.> ça m\'a toujours fait rire les fichiers système protégés sur windows, un malware et hop, on te dépose un rootkit. c\'est ce que je disais hier en plus, l\'uac c\'est bien mais des qu\'un ver en prendra le pouvoir, c\'est la cata !!!> > Mieux vaut éviter le téléchargement de fichiers quelqu\'ils soient en P2P, ou d\'ouvrir des mails \"inconnus\", ce genre de danger on va en avoir un paquet pendant les périodes de noel.> > La plus grosse arnaque de Seven,à la différence de w98, W2000 et Xp, c\'est que dans certains cas, tu ne peux plus réparer, remplacer les fichiers modifiés, même avec le DVD, il faut ré-installer le tout ou avoir une sauvegarde récente> > En cas de fichiers corrompu,MS te file ça :> C:/Windows/Logs/CBS/CBS.log.> > A toi de savoir lire un rapport de 1 giga et d\'analyser ce qu\'il y a...> > Uns fois que t\'auras pigé ce qu\'il ne va pas, MS te dit de faire ça :> > sfc /scannow /OFFBOOTDIR=C:\\ /OFFWINDIR=C:\\windows> > Si ça ne marche pas, t\'as plus qu\'a pleurer > :cry: > > le top du top, c\'est en cas d\'erreur sur le Netframework (1.1/2.0/2.5/3.0/3.5/4), qui se mettent a jour individuellement, impossible de réparer quoi que ce soit, faut ré-installer et les bidouilles qu\'on trouve ici et là ne font qu\'empirer les choses. Et je ne parle pas de la nomenclature des disques qui changent en cas de multi-boot et du bootmanager buggué et du journal d\'évènements a avaler du doliprane codéiné...> > Non franchement on se demande comment sont triés les bétas-testeurs de microsoft, chez marioland sans doute.> > Cneux qui comprennet pas, ce n\'est pas grave, ceux qui ont eu ces soucis comprendront, je conseille juste de faire des sauvegarde très régulières de fichiers système de Vista/Seven sur une clef, un support externe, un serveur Nas, sur un ftp ou sur une partition linux ZFS (^^), et des images ( sauvegardes incrémentales), le plus souvent possible.> > Je disais, au début que seven c\'etait un truc sympa, 1 an après je corrige, c\'est une mauvais OS, à se déchirer les cheveux, c\'est pas du tout pour néophite d\'ailleurs la communauté de fans windows se sentent obliger de sortir des FIXwin (1.2) etc... ou d\'avoir des utilitaires tierces pour tenter de nettoyer le bousin.> Je finis...., la version 64 bits de seven est une version bricolée, pas un OS nativement 64 bits, il n\'y a qu\'a voir le répertoire winsxs,BT, les profiles, et le dossier APPDATA, les differentes versions qui s\'emmèlent....> > bref MS va etre obligé de faire un OS cloud computing ( un peu de novell, de Dos ici et là ) sinon le prochain OS de microsoft va imploser, déjà celui-là c\'est limite..> > Thks de pas avoir tout lu :D

-1 Répondre en citant Masquer

Jarode

Hors ligne Vétéran

2499 points

Inscrit le 01/03/2005
Suivre
Voir le profil
Message privé

Le 26/11/2010 à 15:02 #718441

@DMZ
Eh ben si moi j'ai tout lu

.

Puisqu'on derive, autant aller jusqu'au bou.
Pour le log, bah j'ai envie de dire il ne nous est pas destiné, mais peut effectivement etre tres pratique, et dans ce cas là, c'est effectviment galère.

Pour le .net framework, ca fait pas partie de l'OS, donc oui autant le re-installer direct.
Et pour le cas precis que tu cites (j'ai effectivement eu le tour), une mise à jour qui ne c'est pas terminé correctement.
Ce qui n'est pas acceptable dans ce cas là, c'est que le "rollback" lui aussi ne c'est pas fait correctement.

Par contre, le journal d'événement est tres bien, je trouve.

Pour le coups des disques, je supposes que c'etait des disques en mode IDE, parce que sinon, c'est UID qui est utilisé.
D'ailleur le bootmanager ce reconfigure généralement tres bien a partir du DVD.

Quand a FIXWin que tu cite, c'est ni plus ni moins qu'un regroupement de solutions.
D'ailleurs la plus part de ces solutions sont en rapport avec la base de registre.
Et là on touche le vrai problème sous Windows, c'est que trop de clés plus ou moins sensible peuvent etre modifié par un programme tiers.

Quand aux critique de la version 64bits, risible.
Car appartir du moment ou l'OS doit etre aussi capable de faire tourner des programme 32bit, il est evident que ca peut devenir gros.

Pour en revenir au sujet de départ:
precision interessante, "NtGdiEnableEUDC" est une méthode non documenter sur la MSDN.
Et oui effectivement, vu la dite faille, va effectivement falloir compté sur 2/3 semaine.
Mais sait on jamais on pourrais avoir une bonne surprise Mecredi prochain

> @DMZ> Eh ben si moi j\'ai tout lu ^^.> > Puisqu\'on derive, autant aller jusqu\'au bou.> Pour le log, bah j\'ai envie de dire il ne nous est pas destiné, mais peut effectivement etre tres pratique, et dans ce cas là, c\'est effectviment galère.> > Pour le .net framework, ca fait pas partie de l\'OS, donc oui autant le re-installer direct.> Et pour le cas precis que tu cites (j\'ai effectivement eu le tour), une mise à jour qui ne c\'est pas terminé correctement.> Ce qui n\'est pas acceptable dans ce cas là, c\'est que le \"rollback\" lui aussi ne c\'est pas fait correctement.> > Par contre, le journal d\'événement est tres bien, je trouve.> > Pour le coups des disques, je supposes que c\'etait des disques en mode IDE, parce que sinon, c\'est UID qui est utilisé.> D\'ailleur le bootmanager ce reconfigure généralement tres bien a partir du DVD.> > Quand a FIXWin que tu cite, c\'est ni plus ni moins qu\'un regroupement de solutions.> D\'ailleurs la plus part de ces solutions sont en rapport avec la base de registre.> Et là on touche le vrai problème sous Windows, c\'est que trop de clés plus ou moins sensible peuvent etre modifié par un programme tiers.> > Quand aux critique de la version 64bits, risible.> Car appartir du moment ou l\'OS doit etre aussi capable de faire tourner des programme 32bit, il est evident que ca peut devenir gros.> > > Pour en revenir au sujet de départ:> precision interessante, \"NtGdiEnableEUDC\" est une méthode non documenter sur la MSDN.> Et oui effectivement, vu la dite faille, va effectivement falloir compté sur 2/3 semaine.> Mais sait on jamais on pourrais avoir une bonne surprise Mecredi prochain :lol:

-1 Répondre en citant Masquer

DMZ

Hors ligne VIP

5235 points

Inscrit le 12/04/2008
Suivre
Voir le profil
Message privé

Le 26/11/2010 à 15:41 #718481

t'es courageux

Quand même faut avouer que seven est difficile à cerner, rien qu'a voir les bibliothèques, la redondance des liens et répertoires.
le Net framework est un élément vital de windows, pour les drivers ( ex: ati) certaines applications developpées en visual, ect ect....
Netframework, On ne peut pas le réinstaller par dessus, j'ai déjà testé longuement, en le supprimant, en le patchant, ect. la version 64 bits est encore plus complexe car tu as la 32 et 64 bits...

Y a quand même une vraie régression entre la convivialité d'XP home/pro et Seven.
MS le sait, il a amélioré l'assistance a distance pour ça, même si ça ne vaut pas teamviewer.
Vista et windowsME sont hors course.

Avant de dire que c'est risible et donner un jugement à l'emporte-pièces, désactive le cache des dossiers et jette un coup d'oeil au dossier winsxs. As-tu la version 64 d'installée ?
prends une BSD,un gnu-linux, mac Os et regarde les differences.
Apple ausi a eu ce "genre" de galère en faisant cohabiter mac Os 9 et mac os 10.

2/3 semaines c'est le minimum. c'est ce qui dommageable c'est que microsoft ne propose jamais de contournement ou une solution intermédiaire.

Le DVD sert a 2 choses :
- installer windows seven
- essayer de dépanner le démarrage

D'ailleur si le bootmanager n'était pas foireur, on aurait pas un téléchargement en masse d'easyBCD, qui est quand même plus convivial que BCDEDIT en Ligne de commandes.

http://neosmart.net/dl.php?id=1

Au fait ide, ssd, sata1 et 2, scsi, sas, les gens s'en foutent, ils doivent retrouver leurs petits.

> t\'es courageux ^^> > Quand même faut avouer que seven est difficile à cerner, rien qu\'a voir les bibliothèques, la redondance des liens et répertoires.> le Net framework est un élément vital de windows, pour les drivers ( ex: ati) certaines applications developpées en visual, ect ect....> Netframework, On ne peut pas le réinstaller par dessus, j\'ai déjà testé longuement, en le supprimant, en le patchant, ect. la version 64 bits est encore plus complexe car tu as la 32 et 64 bits...> > Y a quand même une vraie régression entre la convivialité d\'XP home/pro et Seven.> MS le sait, il a amélioré l\'assistance a distance pour ça, même si ça ne vaut pas teamviewer.> Vista et windowsME sont hors course.> > Avant de dire que c\'est risible et donner un jugement à l\'emporte-pièces, désactive le cache des dossiers et jette un coup d\'oeil au dossier winsxs. As-tu la version 64 d\'installée ?> prends une BSD,un gnu-linux, mac Os et regarde les differences.> Apple ausi a eu ce \"genre\" de galère en faisant cohabiter mac Os 9 et mac os 10.> > 2/3 semaines c\'est le minimum. c\'est ce qui dommageable c\'est que microsoft ne propose jamais de contournement ou une solution intermédiaire.> > Le DVD sert a 2 choses :> - installer windows seven> - essayer de dépanner le démarrage> > D\'ailleur si le bootmanager n\'était pas foireur, on aurait pas un téléchargement en masse d\'easyBCD, qui est quand même plus convivial que BCDEDIT en Ligne de commandes.> > http://neosmart.net/dl.php?id=1> > Au fait ide, ssd, sata1 et 2, scsi, sas, les gens s\'en foutent, ils doivent retrouver leurs petits.

-1 Répondre en citant Masquer

celegorm

Hors ligne Habitué

105 points

Inscrit le 25/02/2010
Suivre
Voir le profil
Message privé

Le 26/11/2010 à 16:33 #718501

La faille n'est pas dans l'UAC.
Si l'on observer le Poc, il s'agit de l'exploitation d'un buffer overflow dans un processus qui a les droits system. Le Poc ne fait qu'utiliser ces droits pour en donner à l'utilisateur standard.
l'UAC n'a donc rien à voir là dedans: il s'agit d'une faille de DEP, c'est ce mécanisme qui est censé éviter l'exploitation de faille de la sorte.

-1 Répondre en citant Masquer

‹ 123 › »

Suivre les commentaires

Poster un commentaire

Anonyme

Se connecter