Le nouveau jour zéro de Windows avec exploit public vous permet de devenir un administrateur

Windows vulnerability

Un chercheur en sécurité a divulgué publiquement un exploit pour une nouvelle vulnérabilité d’élévation des privilèges locaux zero-day de Windows qui donne des privilèges d’administrateur dans Windows 10, Windows 11 et Windows Server.

EZpublish-france.fr a testé l’exploit et l’a utilisé pour ouvrir l’invite de commande avec les privilèges SYSTEM à partir d’un compte avec uniquement des privilèges « Standard » de bas niveau.

En utilisant cette vulnérabilité, les acteurs de la menace ayant un accès limité à un appareil compromis peuvent facilement élever leurs privilèges pour aider à se propager latéralement au sein du réseau.

La vulnérabilité affecte toutes les versions prises en charge de Windows, y compris Windows 10, Windows 11 et Windows Server 2022.

Un chercheur libère un contournement à une vulnérabilité corrigée

Dans le cadre du Patch Tuesday de novembre 2021, Microsoft a corrigé une vulnérabilité de « vulnérabilité d’élévation des privilèges de Windows Installer » suivie comme CVE-2021-41379.

Cette vulnérabilité a été découverte par le chercheur en sécurité Abdelhamid Naceri, qui a découvert un contournement du correctif et une nouvelle vulnérabilité d’élévation des privilèges zero-day plus puissante après avoir examiné le correctif de Microsoft.

Hier, Naceri a publié un exploit de preuve de concept fonctionnel pour le nouveau zero-day sur GitHub, expliquant qu’il fonctionne sur toutes les versions prises en charge de Windows.

« Cette variante a été découverte lors de l’analyse du correctif CVE-2021-41379. Cependant, le bug n’a pas été corrigé correctement au lieu de supprimer le contournement », explique Naceri dans son article. « J’ai choisi d’abandonner cette variante car elle est plus puissante que l’originale. »

De plus, Naceri a expliqué que s’il est possible de configurer des stratégies de groupe pour empêcher les utilisateurs « standards » d’effectuer des opérations d’installation MSI, son zero-day contourne cette stratégie et fonctionnera de toute façon.

EZpublish-france.fr a testé l’exploit « InstallerFileTakeOver » de Naceri, et il n’a fallu que quelques secondes pour obtenir les privilèges SYSTEM à partir d’un compte de test avec les privilèges « Standard », comme le montre la vidéo ci-dessous.

Le test a été effectué sur une installation de Windows 10 21H1 build 19043.1348 entièrement à jour.

Lorsque EZpublish-france.fr a demandé à Naceri pourquoi il avait divulgué publiquement la vulnérabilité zero-day, on nous a dit qu’il l’avait fait par frustration face à la diminution des paiements de Microsoft dans son programme de primes aux bugs.

« Les primes Microsoft sont supprimées depuis avril 2020, je ne le ferais vraiment pas si MSFT ne prenait pas la décision de déclasser ces primes », a expliqué Naceri.

Naceri n’est pas le seul à s’inquiéter de ce que les chercheurs pensent être la réduction des récompenses de bug bounty.

EZpublish-france.fr a contacté Microsoft au sujet du jour zéro divulgué et mettra à jour l’article si nous recevons une réponse.

Comme c’est généralement le cas avec zéro jour, Microsoft corrigera probablement la vulnérabilité dans une future mise à jour Patch Tuesday.

Cependant, Naceri a averti qu’il n’était pas conseillé d’essayer de corriger la vulnérabilité en essayant de corriger le binaire car cela endommagerait probablement le programme d’installation.

« La meilleure solution de contournement disponible au moment de la rédaction de cet article est d’attendre que Microsoft publie un correctif de sécurité, en raison de la complexité de cette vulnérabilité », a expliqué Naceri.

« Toute tentative de patcher le binaire directement endommagera le programme d’installation de Windows. Vous feriez donc mieux d’attendre et de voir comment Microsoft va à nouveau visser le patch. »