Les créateurs de logiciels malveillants ont déjà commencé à tester un exploit de preuve de concept ciblant un nouveau jour zéro de Microsoft Windows Installer divulgué publiquement par le chercheur en sécurité Abdelhamid Naceri au cours du week-end.
« Talos a déjà détecté des échantillons de logiciels malveillants dans la nature qui tentent de tirer parti de cette vulnérabilité » mentionné Jaeson Schultz, responsable technique du groupe Talos Security Intelligence & Research de Cisco.
Cependant, comme l’a déclaré à EZpublish-france.fr le responsable de la sensibilisation de Cisco Talos, Nick Biasini, ces tentatives d’exploitation font partie d’attaques à faible volume probablement axées sur les tests et la mise au point d’exploits pour des campagnes à part entière.
« Au cours de notre enquête, nous avons examiné des échantillons de logiciels malveillants récents et avons pu en identifier plusieurs qui tentaient déjà d’exploiter l’exploit », a déclaré Biasini à EZpublish-france.fr.
« Comme le volume est faible, il s’agit probablement de personnes travaillant avec le code de preuve de concept ou de tests pour de futures campagnes. C’est juste une preuve supplémentaire de la rapidité avec laquelle les adversaires travaillent pour armer un exploit accessible au public. »
Zero-day contourne le correctif Windows Installer
La vulnérabilité en question est un bug d’élévation des privilèges local trouvé en tant que contournement d’un correctif publié par Microsoft lors du Patch Tuesday de novembre 2021 pour corriger une faille identifiée comme CVE-2021-41379.
Dimanche, Naceri a publié un exploit de preuve de concept fonctionnel pour ce nouveau zero-day, disant qu’il fonctionne sur toutes les versions prises en charge de Windows.
S’il est exploité avec succès, ce contournement donne aux attaquants des privilèges SYSTEM sur les appareils à jour exécutant les dernières versions de Windows, notamment Windows 10, Windows 11 et Windows Server 2022.
Les privilèges SYSTEM sont les droits d’utilisateur les plus élevés disponibles pour un utilisateur Windows et permettent d’exécuter n’importe quelle commande du système d’exploitation.
En exploitant ce jour zéro, les attaquants ayant un accès limité aux systèmes compromis peuvent facilement élever leurs privilèges pour aider à se propager latéralement au sein du réseau d’une victime.
EZpublish-france.fr a testé l’exploit de Naceri et l’a utilisé pour ouvrir avec succès une invite de commande avec les autorisations SYSTEM à partir d’un compte avec des privilèges « Standard » de bas niveau.
« La meilleure solution de contournement disponible au moment de la rédaction de cet article est d’attendre que Microsoft publie un correctif de sécurité, en raison de la complexité de cette vulnérabilité », a expliqué Naceri.
« Toute tentative de patcher le binaire directement endommagera le programme d’installation de Windows. Vous feriez donc mieux d’attendre et de voir comment Microsoft va à nouveau visser le patch. »
« Nous sommes au courant de la divulgation et ferons ce qui est nécessaire pour assurer la sécurité et la protection de nos clients. Un attaquant utilisant les méthodes décrites doit déjà avoir accès et la capacité d’exécuter du code sur la machine d’une victime cible », a déclaré un porte-parole de Microsoft à EZpublish-france.fr lorsque demandé plus de détails concernant cette vulnérabilité.