Windows 10 : une autre 0day divulguée sur Twitter

Le par  |  2 commentaire(s)
Windows-10-S-fin

Rebelotte. SandoxEscaper attire une nouvelle fois l'attention en divulguant sur Twitter une 0day affectant Windows 10.

Fin août, une faille 0day touchant Windows 10 avait été divulguée sur Twitter avec un lien pointant vers l'hébergement d'une preuve de concept (PoC) sur GitHub. Ultérieurement, un tel code s'est retrouvé dans des attaques actives.

Jugée non critique et corrigée par Microsoft dans son Patch Tuesday de septembre, la faille en question résidait au niveau du planificateur de tâches de Windows avec une élévation de privilèges en local dans l'interface ALPC (Advanced Local Procedure Call). Dès lors, la possibilité pour un utilisateur d'obtenir des privilèges système.

Pour une autre 0day affectant Windows 10, c'est un peu le même topo avec toujours SandoxEscaper à l'initiative de la divulgation sur Twitter et une PoC sur GitHub.

Comme la dernière fois, la faille a été confirmée par le chercheur en sécurité Will Dormann du CERT Carnegie Mellon. Il souligne que la PoC utilise le service Data Sharing Service (dssvc.dll) qui n'est a priori pas présent sur Windows 8.1 ou version antérieure.

De même, le chercheur en sécurité Kevin Beaumont confirme un exploit seulement fonctionnel sur Windows 10 (et Server 2016 et 2019) qu'il juge similaire à celui du planificateur de tâches et permet à des utilisateurs sans droits d'administrateur de supprimer n'importe quel fichier en passant outre la vérification des autorisations.

Quelques heures après la divulgation de la 0day tirant parti d'un bug au niveau de Microsoft Data Sharing Service, la plate-forme 0patch de Acros Security vante la mise au point d'un micropatch bloquant l'exploit. En l'occurrence, en agissant au niveau d'un appel DeleteFileW pour interdire l'opération de suppression.

On peut penser que Microsoft attendra le prochain Patch Tuesday pour déployer un correctif et ne procédera pas en urgence au regard d'une vulnérabilité d'élévation de privilèges en local.

Hormis dans un environnement de test, comme par exemple dans une machine virtuelle, jouer avec la PoC est en tout cas déconseillé car elle efface des fichiers dont l'absence nécessite une restauration système.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2037990
Y'a tellement de trous dans les OS qu'on devrait engager des maçons pour les boucher plutôt que des développeurs.

C'est dingue qu'on aie uniquement des remontées de 0day que pour Windows... MacOS et Linux sont tellement parfaits aussi... Nan j'déconne.
Le #2038011
"jouer avec la PoC est en tout cas déconseillé car elle efface des fichiers dont l'absence nécessite une restauration système."

Moui, enfin ça c'est la solution quand on ne sait pas faire autrement, par exemple avec un DaRT, ou même une clé W10 à coup de DISM et/ou sfc.
Cela dit, je ne dit pas qu'il faille jouer avec le PoC en question
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme