L'équipe de hackers d'élite de Project Zero de Google a récidivé. Avec un exploit de type preuve de concept à l'appui, elle a publié les détails d'une vulnérabilité de sécurité affectant Windows et pour laquelle un correctif en bonne et due forme n'a pas été livré par Microsoft.

Microsoft-Google Affectant Windows Vista à Windows 10, cette faille est une resucée de bugs de sécurité corrigés en juin 2016 par Microsoft dans une mise à jour MS16-074. Sauf que la correction a été incomplète. Google a informé Microsoft de la vulnérabilité mi-novembre. Après un délai de 90 jours sans patch, celle-ci est désormais rendue publique.

Le problème est présent au niveau de la bibliothèque logicielle gdi32.dll (Graphics Device Interface). Ce composant graphique de Windows traite les objets en mémoire. Membre du Project Zero, Mateusz Jurczyk explique qu'il est possible de " divulguer des tas d'octets hors limites ou non initialisés via des couleurs de pixels, dans Internet Explorer et autres clients GDI permettant l'extraction de données d'image affichées à l'attaquant. "

En pratique, l'exploitation de la vulnérabilité permet à un attaquant de lire du contenu de la mémoire par le biais d'un fichier EMF spécialement conçu. Pour les données divulguées, tout dépend de l'endroit en mémoire où ce fichier EMF est exécuté.

La faille a pu être reproduite localement dans Internet Explorer, et à distance dans Office Online grâce à un document .docx contenant un fichier EMF piégé. Critique ? A priori pas. Quoi qu'il en soit, Microsoft a déjà critiqué par le passé les divulgations publiques de Google avant que des patchs ne soient " largement disponibles et testés ", faisant ainsi courir " un risque accru " aux utilisateurs.

Au plus mauvais moment

Cette divulgation publique intervient dans un contexte très particulier. En raison d'un problème de dernière minute, le Patch Tuesday de février de Microsoft a été repoussé. Tous les correctifs initialement prévus la semaine dernière seront dans le Patch Tuesday de mars. Le correctif pour la faille exposée par Google faisait peut-être partie du lot.

Rappelons que le report du Patch Tuesday de février fait qu'une vulnérabilité 0-day affectant le traitement du trafic SMB dans Windows et divulguée publiquement n'a pas pu être corrigée. De même, les dernières vulnérabilités corrigées dans Flash Player ne le sont pas avec Microsoft Edge (et IE11 pour Windows 10 et 8.1). Tout ceci contribue à augmenter momentanément la surface d'attaque pour Windows. Soulignons néanmoins que les exploitations peuvent être complexes.