La nouvelle vulnérabilité zero-day dans Windows Installer affecte toutes les versions du système d’exploitation de Microsoft

7

En bref : Le groupe de sécurité informatique Cisco Talos a découvert une nouvelle vulnérabilité qui affecte toutes les versions de Windows à ce jour, y compris Windows 11 et Server 2022. La vulnérabilité existe dans le programme d'installation de Windows et permet aux pirates d'élever leurs privilèges pour devenir administrateur.

La découverte de cette vulnérabilité a conduit le groupe Cisco Talos à mettre à jour ses règles Snort, qui consistent en des règles permettant de détecter des attaques ciblant une liste de vulnérabilités. La liste mise à jour des règles comprend la vulnérabilité d'élévation des privilèges du jour zéro, ainsi que des règles nouvelles et modifiées pour les menaces émergentes provenant des navigateurs, des systèmes d'exploitation et des protocoles réseau, entre autres.

L'exploitation de cette vulnérabilité permet aux pirates disposant d'un accès utilisateur limité d'élever leurs privilèges, agissant en tant qu'administrateur du système. L'entreprise de sécurité a déjà trouvé des échantillons de logiciels malveillants sur Internet, il y a donc de fortes chances que quelqu'un en ait déjà été victime.

La vulnérabilité avait déjà été signalée à Microsoft par Abdelhamid Naceri, chercheur en sécurité chez Microsoft, et aurait été corrigée avec le correctif CVE-2021-41379 le 9 novembre. Cependant, le correctif ne semblait pas suffisant pour résoudre le problème, tant que le problème persiste, conduisant Naceri à publier la preuve de concept sur GitHub.

En termes simples, la preuve de concept montre comment un pirate peut remplacer n'importe quel fichier exécutable sur le système par un fichier MSI à l'aide de la liste de contrôle d'accès discrétionnaire (DACL) pour Microsoft Edge Elevation Service.

Microsoft a qualifié la vulnérabilité de «gravité moyenne », avec un score CVSS (Common Vulnerability scoring system) de base de 5,5 et un score temporel de 4,8. Maintenant qu'un code d'exploitation de preuve de concept fonctionnel est disponible, d'autres pourraient essayer d'en abuser davantage, augmentant éventuellement ces scores. Pour le moment, Microsoft n'a pas encore publié de nouvelle mise à jour pour atténuer la vulnérabilité.

Naceri semble avoir essayé de patcher le binaire lui-même, mais sans succès. Jusqu'à ce que Microsoft corrige la vulnérabilité, le groupe Cisco Talos recommande à ceux qui utilisent un pare-feu sécurisé Cisco de mettre à jour leurs règles définies avec les règles Snort 58635 et 58636 pour protéger les utilisateurs contre l'exploit.

Source d'enregistrement: www.techspot.com

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More