Sur le forum exploit.in fréquenté par des cybercriminels, un dénommé BuggiCorp a mis en vente début mai un exploit 0-day qui est fonctionnel sur toutes les versions de Windows allant de Windows 2000 à Windows 10. S'exprimant en russe, BuggiCorp a d'abord mis en vente sa vulnérabilité pour 95 000 $, avant de ramener ce prix à 90 000 $, soit plus de 80 000 €.
Ce qui est assez surprenant est que ce marchandage n'est pas réellement caché. La proposition pour un acquéreur unique se fait de manière relativement ouverte, sans passer par un site ou forum du darknet. Difficile d'avoir la certitude que l'exploit 0-day est effectivement fonctionnel, mais plusieurs experts en sécurité pensent qu'il l'est.
Sur YouTube, deux vidéos de démonstration ont été publiées. Une vidéo montre une élévation de privilèges avec cmd.exe pour obtenir le niveau le plus élevé sur Windows 10. L'autre vidéo montre le contournement de toutes les protections de l'outil Enhanced Mitigation Experience Toolkit. Principalement à destination des entreprises, cet outil de Microsoft est du reste censé être superflu avec Windows 10.
Pour Trustwave, qui souligne qu'il ne s'agit toutefois pas d'une exécution de code à distance, l'exploit peut être associé à un autre exploit côté client pour permettre à un attaquant de contourner une protection de sandbox implémentée dans une application comme par exemple Google Chrome. Il pourrait aussi être utilisé pour installer des rootkits, parmi d'autres actions possibles.
Trustwave a alerté Microsoft de cette vente particulière d'un exploit 0-day. L'occasion de rappeler que Microsoft a mis en place des programmes de Bug Bounty. Toujours en cours, certains sont particulièrement rémunérateurs avec des récompenses de jusqu'à 100 000 $. Un message à faire passer à BuggiCorp...
