Les chercheurs d’ESET ont récemment découvert un exploit Windows de type zero-day utilisé dans le cadre d’une attaque très ciblée en Europe de l’Est. Cet exploit reposait sur une vulnérabilité inédite d’escalade des privilèges locaux sur Windows.

ESET a immédiatement signalé le problème aux équipes du centre de réponse aux incidents de Microsoft (MSRC), ce qui a permis à l’éditeur de corriger la vulnérabilité et de publier un correctif.

L’exploit ne fonctionnera cependant que sur certaines versions plus anciennes de Windows. À partir de Windows 8, en effet, un processus utilisateur n’est plus autorisé à mapper la page NULL, ce qui est un prérequis nécessaire à la réussite de cette attaque.

La vulnérabilité exploitée se trouve dans win32k.sys et, comme d’autres de la même famille, utilise le menu contextuel pour son déploiement. « Par exemple, l’exploit d’escalade des privilèges locaux du groupe Sednit que nous avons analysé en 2017 utilisait déjà des objets de menu et des techniques d’exploitation très similaires à celle-ci », explique Anton Cherepanov, le chercheur ESET à l’origine de la découverte.

La vulnérabilité (référencée en tant que CVE-2019-1132) affecte :

  • Windows 7 — Service Pack 1 sur les systèmes 32 bits ;
  • Windows 7 — Service Pack 1 sur les systèmes x64 ;
  • Windows Server 2008 – Service Pack 2 sur les systèmes 32 bits ;
  • Windows Server 2008 – Service Pack 2 sur les systèmes Itanium ;
  • Windows Server 2008 – Service Pack 2 sur les systèmes x64 ;
  • Windows Server 2008 – Service Pack 1 sur les systèmes Itanium ;
  • Windows Server 2008 R2 sur les systèmes x64.

A noter que Windows XP et Windows Server 2003 sont également vulnérables, mais ces versions ne sont plus supportées par Microsoft.

Lire aussi  ESET reconnu comme un acteur incontournable de la protection des postes de travail par Radicati

« Les utilisateurs qui utilisent encore le Service Pack 1 de Windows 7 devraient envisager une mise à jour vers de nouveaux systèmes d’exploitation, car le support étendu du Service Pack 1 de Windows 7 prendra fin le 14 janvier 2020. Ce qui signifie que les utilisateurs de Windows 7 ne recevront alors plus les mises à jour de sécurité critiques » met en garde Anton Cherepanov.

Pour plus de détails techniques sur cette vulnérabilité zero-day, consultez notre billet “L’exploit jour zéro CVE 2019 1132 utilisé pour des attaques ciblées“, sur notre blog WeLiveSecurity.com.