Un chercheur français en sécurité a découvert par accident une vulnérabilité de type zero-day affectant les systèmes d’exploitation Windows 7 et Windows Server 2008 R2 alors qu’il travaillait sur la mise à jour d’un outil de sécurité Windows.
La vulnérabilité réside dans deux clés de registre mal configurées pour les services RPC Endpoint Mapper et DNSCache, présents sur toutes les installations Windows.
- HKLM\\SYSTEM\CurrentControlSet\\Services\\RpcEptMapper
- HKLM\\SYSTEM\CurrentControlSet\\Services\\NDnscache
Chargement de DLL personnalisées
Le chercheur en sécurité Clément Labro affirme qu’un attaquant ayant préalablement pris pied sur des systèmes vulnérables peut modifier ces clés de registre pour activer une sous-clé habituellement utilisée par le mécanisme de surveillance des performances de Windows.
Les sous-clés “Performance” sont généralement utilisées pour surveiller les performances d’une application. En raison de leur rôle, elles permettent également aux développeurs de charger leurs propres fichiers DLL pour suivre les performances à l’aide d’outils personnalisés.
Alors que sur les versions récentes de Windows, ces DLL sont généralement restreintes et chargées avec des privilèges limités, le chercheur a découvert que, sur Windows 7 et Windows Server 2008, il est encore possible de charger des DLL personnalisées qui fonctionnent avec des privilèges de niveau SYSTEM.
Divulgation accidentelle
Si la plupart des chercheurs en sécurité signalent en privé à Microsoft les problèmes de sécurité comme celui-ci, le cas de cette vulnérabilité est différent.
Clément Labro explique avoir découvert cette faille zero-day après avoir publié la mise à jour de PrivescCheck, un outil permettant de vérifier les erreurs de configuration de la sécurité de Windows qui peuvent être utilisées par les logiciels malveillants pour l’élévation de privilèges. La mise à jour, publiée le mois dernier, ajoutait le support d’un nouvel ensemble de contrôles pour les techniques d’élévation de privilèges.
Le chercheur précise qu’il ne savait pas que ces nouveaux contrôles mettaient en évidence une nouvelle méthode d’élévation de privilèges non corrigée, jusqu’à ce qu’il commence à enquêter sur une série d’alertes apparaissant sur d’anciens systèmes comme Windows 7, quelques jours après la sortie de sa nouvelle version.
A ce moment-là, il était déjà trop tard pour avertir Microsoft en privé. Le chercheur a donc choisi de publier un post de blog sur la nouvelle méthode sur son site personnel à la place.
Pas encore de patch officiel
ZDNet a contacté Microsoft aujourd’hui pour obtenir des commentaires, mais l’entreprise n’avait pas envoyé de déclaration officielle lors de la publication de cet article.
Windows 7 et Windows Server 2008 R2 sont officiellement en fin de support (EOL) et Microsoft a cessé de fournir des mises à jour de sécurité gratuites. Des programmes de mises à jour de sécurité sont disponibles pour les utilisateurs de Windows 7 par le biais du programme d’assistance payant ESU (Extended Support Updates) de la société, mais il n’y pas encore eu de publication de correctif pour ce problème.
On ne sait pas si Microsoft publiera un correctif pour cette faille de sécurité. Cependant, ACROS Security a déjà mis au point un micro-patch, que la société a publié plus tôt dans la journée. Le micro-patch s’installe via le logiciel de sécurité 0patch de l’entreprise et empêche les acteurs malveillants d’exploiter le bug.
