Les PC Windows en danger : faille zero-day de Microsoft n’est pas corrigée

452
Les PC Windows en danger : faille zero-day de Microsoft n'est pas corrigée
Les PC Windows en danger : faille zero-day de Microsoft n'est pas corrigée

Talos Security Intelligence & Research Group a publié un nouveau rapport détaillant sa découverte d’un exploit zero-day affectant toutes les versions de Windows, y compris les machines Windows 11 récemment mises à jour.

L’équipe décrit cet exploit comme une « vulnérabilité d’élévation des privilèges » qui affecte Windows Installer, notant également que certains logiciels malveillants sont déjà en circulation et ciblent cette vulnérabilité particulière.

Selon Cisco Talos, l’exploit zero-day couvre « toutes les versions » de Windows, y compris les machines Windows Server 2022 et Windows 11 sur lesquelles tous les correctifs de sécurité sont installés.

L’équipe souligne la vulnérabilité d’élévation des privilèges CVE-2021-41379 précédemment découverte, affirmant que le correctif inclus dans sa mise à jour de sécurité mensuelle de Windows le 9 novembre n’a pas réussi à résoudre correctement l’exploit.

La vulnérabilité a été découverte pour la première fois par le chercheur en sécurité Abdelhamid Naceri qui a publié une nouvelle preuve de concept plus tôt cette semaine (via GitHub) montrant que Windows Installer peut toujours être exploité malgré le correctif de sécurité.

Talos explique que les acteurs malveillants peuvent profiter de la vulnérabilité pour échanger n’importe quel fichier exécutable existant avec leur propre MSI afin d’exécuter leur propre code sur la machine de la victime en utilisant des privilèges élevés.

Ne serait-il pas dommage que quelqu’un découvre une variante dans Windows 11 ?

— Abdelhamid Naceri (@KLINIX5) November 15, 2021

Cela rend potentiellement cette nouvelle vulnérabilité plus grave que celle que Microsoft a tenté de corriger plus tôt ce mois-ci. Le problème initialement découvert permettait à une personne disposant d’un compte Windows limité d’obtenir des privilèges d’administrateur afin de pouvoir supprimer des fichiers sur un PC ; il ne permettait cependant pas à l’intrus de modifier ou d’afficher l’un des fichiers existants du système.

Talos prévient que le code de validation de principe publié “conduira certainement à des abus supplémentaires de cette vulnérabilité”.

L’équipe n’a pas donné de détails sur les logiciels malveillants qu’elle a trouvés dans la nature qui ciblent cet exploit, notant seulement qu’ils “tentent de tirer parti de cette vulnérabilité”.

C’est vraiment dommage que le problème ne puisse pas être atténué sans un correctif de Microsoft.
J’ai tenté d’atténuer le problème en interdisant la restauration dans la stratégie de groupe.
Cependant, le résultat était tout simplement pire. Le programme d’installation a ignoré le drapeau et a rendu le bogue plus facile à exploiter. https://t.co/Tz1HHs5eS7 pic.twitter.com/iWXKTNslOA

— Abdelhamid Naceri (@KLINIX5) November 24, 2021

Tous les PC Windows sont en danger après que Microsoft n'a pas corrigé l'exploitation de type "zero-day".

Malheureusement, Microsoft n’a pas encore de correctif de sécurité disponible pour résoudre l’exploit zero-day.

En supposant que cette vulnérabilité n’est pas encore activement exploitée, la société de sécurité indique qu’il faudra probablement peu de temps avant qu’elle ne soit utilisée par des acteurs malveillants.

Ceci, naturellement, soulève des questions sur les raisons pour lesquelles Naceri a décidé de publier le code d’exploitation plutôt que d’alerter Microsoft et d’attendre qu’il publie un correctif.

Les gens de Bleeping Computer ont eu la même question et ont obtenu une déclaration de Naceri à ce sujet.

Selon le chercheur en sécurité, la diminution des paiements de primes de bogues de Microsoft a été le catalyseur de sa décision de publier la découverte.

Bien que Microsoft soit conscient du problème, il n’a pas encore de date de sortie pour le nouveau correctif de bogue.

Si la découverte précédente est une indication, nous verrons probablement la mise à jour arriver avec le prochain Patch Tuesday de la société, qui est le deuxième mardi de chaque mois.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici