Fin août, une faille 0day touchant Windows 10 avait été divulguée sur Twitter avec un lien pointant vers l'hébergement d'une preuve de concept (PoC) sur GitHub. Ultérieurement, un tel code s'est retrouvé dans des attaques actives.
Jugée non critique et corrigée par Microsoft dans son Patch Tuesday de septembre, la faille en question résidait au niveau du planificateur de tâches de Windows avec une élévation de privilèges en local dans l'interface ALPC (Advanced Local Procedure Call). Dès lors, la possibilité pour un utilisateur d'obtenir des privilèges système.
Pour une autre 0day affectant Windows 10, c'est un peu le même topo avec toujours SandoxEscaper à l'initiative de la divulgation sur Twitter et une PoC sur GitHub.
Comme la dernière fois, la faille a été confirmée par le chercheur en sécurité Will Dormann du CERT Carnegie Mellon. Il souligne que la PoC utilise le service Data Sharing Service (dssvc.dll) qui n'est a priori pas présent sur Windows 8.1 ou version antérieure.
Confirmed as well on Win10 1803, fully-patched as of October.
— Will Dormann (@wdormann) 23 octobre 2018
It's perhaps worth noting that the service used by the PoC, Data Sharing Service (dssvc.dll), does not seem to be present on Windows 8.1 and earlier systems. https://t.co/W8cNNC4xYO
De même, le chercheur en sécurité Kevin Beaumont confirme un exploit seulement fonctionnel sur Windows 10 (et Server 2016 et 2019) qu'il juge similaire à celui du planificateur de tâches et permet à des utilisateurs sans droits d'administrateur de supprimer n'importe quel fichier en passant outre la vérification des autorisations.
So this works. Windows 10 and Server 2016 (and 2019) only. It’s similar to Task Scheduler exploit, it allows non-admins to delete any file by abusing a new Windows service not checking permissions again. https://t.co/q45Qj3DGSS
— Kevin Beaumont (@GossiTheDog) 23 octobre 2018
Quelques heures après la divulgation de la 0day tirant parti d'un bug au niveau de Microsoft Data Sharing Service, la plate-forme 0patch de Acros Security vante la mise au point d'un micropatch bloquant l'exploit. En l'occurrence, en agissant au niveau d'un appel DeleteFileW pour interdire l'opération de suppression.
7 hours after the 0day in Microsoft Data Sharing Service was dropped, we have a micropatch candidate that successfully blocks the exploit by adding impersonation to the DeleteFileW call. As you can see, the Delete operation now gets an "ACCESS DENIED" due to impersonation. pic.twitter.com/qoQgMqtTas
— 0patch (@0patch) 23 octobre 2018
On peut penser que Microsoft attendra le prochain Patch Tuesday pour déployer un correctif et ne procédera pas en urgence au regard d'une vulnérabilité d'élévation de privilèges en local.
Hormis dans un environnement de test, comme par exemple dans une machine virtuelle, jouer avec la PoC est en tout cas déconseillé car elle efface des fichiers dont l'absence nécessite une restauration système.