Le bug zero-day de Windows ‘InstallerFileTakeOver’ obtient un micropatch gratuit

Unpatched bug in Windows Installer gives administrator privileges

Un correctif non officiel est disponible pour une vulnérabilité zero-day qui est activement exploitée dans la nature pour obtenir des privilèges d’administrateur.

Un code d’exploitation de preuve de concept (PoC) qui fonctionne immédiatement a été publié pour ce problème, appelé bug « InstallerFileTakeOver ».

La vulnérabilité affecte toutes les versions de Windows, y compris Windows 11 et Windows Server 2022, et elle peut être exploitée par des attaquants avec des comptes locaux limités pour élever les privilèges et exécuter du code avec des droits d’administrateur.

Bug non corrigé dans Windows Installer

Abdelhamid Naceri, le chercheur qui a créé le Poc, a trouvé le problème lors de l’analyse du correctif pour un autre bug d’escalade de privilèges qu’il a signalé à Microsoft, actuellement suivi comme CVE-2021-41379.

Il a découvert que le correctif de Microsoft était incomplet, laissant place à l’exploitation pour exécuter du code avec des privilèges d’administrateur. Naceri aussi c’est noté que la nouvelle variante, qui n’a pas encore reçu d’identifiant CVE, « est plus puissante que l’originale ».

Mitja Kolsek, le co-fondateur de la 0patch service qui fournit des correctifs qui ne nécessitent pas de redémarrage du système, explique que le problème provient de la façon dont le programme d’installation de Windows crée un fichier de restauration (.RBF) qui permet de restaurer les données supprimées ou modifiées pendant le processus d’installation.

À un moment donné, Windows modifie l’emplacement du fichier RBF de « Config.msi » dans le dossier temporaire et modifie ses autorisations pour autoriser l’accès en écriture à l’utilisateur.

« Abdelhamid a remarqué qu’un lien symbolique peut être créé à la place du fichier RBF entrant, ce qui entraînera le déplacement du fichier RBF de C:WindowsInstallerConfig.msi vers un autre fichier choisi par l’utilisateur sur le système. Étant donné que Windows Installer s’exécute en tant que système local, tout fichier accessible en écriture par le système local peut être écrasé et rendu accessible en écriture par l’utilisateur local » – Kolsek dit dans un article de blog la semaine dernière.

Le code de 0Patch vérifie qu’il n’y a pas de jonctions ou de liens dans le chemin de destination du fichier RBF ; sinon, il bloque le déplacement du fichier pour éliminer le risque d’exploitation.

Le micropatch est gratuit et fonctionne sur Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019. Une vidéo publiée plus tôt ce mois-ci le montre en action.

À noter, le code de correction 0Patch est une solution temporaire visant à protéger les systèmes jusqu’à ce que Microsoft publie un correctif permanent pour le problème, qui n’a pas encore eu lieu.

En parlant à EZpublish-france.fr, Naceri a déclaré qu’il avait publié l’exploit de preuve de concept (PoC) pour ce problème non résolu sans informer Microsoft de ses conclusions.

L’adoption de cette approche a été influencée par son expérience précédente avec le signalement du CVE-2021-41379 et d’autres vulnérabilités à Microsoft, pour lesquelles le chercheur, selon lui, méritait plus qu’un simple « merci » de la part de l’entreprise.

Jusqu’à ce que Microsoft déploie un correctif pour ce problème, les acteurs malveillants disposent d’une nouvelle méthode pour augmenter leurs privilèges sur un ordinateur Windows compromis et ils ne perdent pas de temps.

Un avis sur les menaces de Cisco Talos le mois dernier a averti que les adversaires utilisent des échantillons de logiciels malveillants qui tentent de tirer parti de la nouvelle vulnérabilité découverte par Naceri.

« Le code publié par Naceri exploite la liste de contrôle d’accès discrétionnaire (DACL) pour Microsoft Edge Elevation Service pour remplacer tout fichier exécutable sur le système par un fichier MSI, permettant à un attaquant d’exécuter du code en tant qu’administrateur » – Talos Cisco

Pour l’instant, la meilleure défense des utilisateurs consiste à exécuter le correctif temporaire 0Patch, qui est appliqué à la volée et ne nécessite pas de redémarrage de la machine.