Les chercheurs d’ESET ont récemment découvert un exploit Windows de type zero-day utilisé dans le cadre d’une attaque très ciblée en Europe de l’Est. Cet exploit reposait sur une vulnérabilité inédite d’escalade des privilèges locaux sur Windows.

ESET a immédiatement signalé le problème aux équipes du centre de réponse aux incidents de Microsoft (MSRC), ce qui a permis à l’éditeur de corriger la vulnérabilité et de publier un correctif.

L’exploit ne fonctionnera cependant que sur certaines versions plus anciennes de Windows. À partir de Windows 8, en effet, un processus utilisateur n’est plus autorisé à mapper la page NULL, ce qui est un prérequis nécessaire à la réussite de cette attaque.

La vulnérabilité exploitée se trouve dans win32k.sys et, comme d’autres de la même famille, utilise le menu contextuel pour son déploiement. « Par exemple, l’exploit d’escalade des privilèges locaux du groupe Sednit que nous avons analysé en 2017 utilisait déjà des objets de menu et des techniques d’exploitation très similaires à celle-ci », explique Anton Cherepanov, le chercheur ESET à l’origine de la découverte.

La vulnérabilité (référencée en tant que CVE-2019-1132) affecte :

  • Windows 7 — Service Pack 1 sur les systèmes 32 bits ;
  • Windows 7 — Service Pack 1 sur les systèmes x64 ;
  • Windows Server 2008 – Service Pack 2 sur les systèmes 32 bits ;
  • Windows Server 2008 – Service Pack 2 sur les systèmes Itanium ;
  • Windows Server 2008 – Service Pack 2 sur les systèmes x64 ;
  • Windows Server 2008 – Service Pack 1 sur les systèmes Itanium ;
  • Windows Server 2008 R2 sur les systèmes x64.

A noter que Windows XP et Windows Server 2003 sont également vulnérables, mais ces versions ne sont plus supportées par Microsoft.

Lire aussi  Élargissez vos horizons avec le Galaxy A7

« Les utilisateurs qui utilisent encore le Service Pack 1 de Windows 7 devraient envisager une mise à jour vers de nouveaux systèmes d’exploitation, car le support étendu du Service Pack 1 de Windows 7 prendra fin le 14 janvier 2020. Ce qui signifie que les utilisateurs de Windows 7 ne recevront alors plus les mises à jour de sécurité critiques » met en garde Anton Cherepanov.

Pour plus de détails techniques sur cette vulnérabilité zero-day, consultez notre billet “L’exploit jour zéro CVE 2019 1132 utilisé pour des attaques ciblées“, sur notre blog WeLiveSecurity.com.

(Vus 47 fois, 1 visites Aujourd'hui)