Retour à une vulnérabilité 0day pour un bug de sécurité que Microsoft pensait avoir corrigé (CVE-2020-0986). En l'occurrence, un bug d'élévation de privilèges dans notamment Windows 8.1 et Windows 10. Il touche l'API Print Spooler (splwow64.exe) pour la gestion des tâches d'impression.
D'après la chercheuse en sécurité Maddie Stone de Project Zero de Google, Microsoft a publié un patch en juin, mais ce patch ne corrige pas la vulnérabilité qui existe toujours. Seule la méthode d'exploitation a changé.
À la suite d'un rapport en septembre et à l'issue d'un délai de 90 jours, la divulgation publique est tombée, sachant qu'une correction de Microsoft ne devrait désormais intervenir que le 12 janvier prochain, soit la date du premier Patch Tuesday de 2021.
Un recyclage de 0day
Maddie Stone a publié une preuve de concept pour l'exploitation d'une vulnérabilité CVE-2020-17008 (la nouvelle référence attitrée par Microsoft) en se basant sur une preuve de concept qui avait été publiée par Kaspersky pour la vulnérabilité CVE-2020-0986.
Il s'avère que Kaspersky avait rapporté l'existence d'une attaque Operation PowerFall - avec pour cible une entreprise sud-coréenne - qui tirait parti d'une exécution de code à distance pour Internet Explorer 11 et de l'élévation de privilèges avec CVE-2020-0986.
There have been too many occurrences this year of 0days known to be actively exploited being fixed incorrectly or incompletely. When itw 0days aren't fixed completely, attackers can reuse their knowledge of vulns & exploit methods to easily develop new 0-days.
— Maddie Stone (@maddiestone) December 23, 2020
" Cette année, il y a eu trop de cas où des failles 0day connues pour être activement exploitées ont été corrigées de manière incorrecte ou incomplète. Quand dans la nature, des failles 0day ne sont pas complètement corrigées, les attaquants peuvent réutiliser leur connaissance des vulnérabilités et exploiter des méthodes pour développer facilement de nouveaux exploits 0day ", déplore Maddie Stone.
