5/5 - (1 vote)

Alerte: Vulnérabilité dans Microsoft Windows

Le 27 août 2018, un utilisateur a publié sur Twitter l’existence d’une vulnérabilité de type élévation de privilèges ainsi qu’un lien vers un dépôt GitHub contenant le code d’attaque exploitant cette vulnérabilité. Ce code est stable et facilement adaptable.

Si la preuve de concept ne fonctionne en l’état que sur les versions 64 bits de Windows, la vulnérabilité est présente dans toutes les versions de Windows (de Windows 7 à Windows 10, Windows Server 2008 R2 à Windows Server 2016).

Cette vulnérabilité provient du planificateur de tâches, plus précisément de l’interface RPC ITaskSchedulerService.

Parmi les fonctions exportées par cette interface RPC, la fonction SchRpcSetSecurity permet de fixer arbitrairement un descripteur de sécurité (Discretionary access control lists ou DACLs) pour un fichier contenu dans le répertoire C:\Windows\Tasks.

Comme tout le monde peut écrire dans le répertoire C:\Windows\Tasks, il est possible de créer un lien non brisable (hard link) vers n’importe quel autre fichier sur lequel on possède les droits en lecture. Lorsque la fonction SchRpcSetSecurity est appelée, la DACL du fichier pointé par le lien est remplacée par celle spécifiée lors de l’appel à la fonction SchRpcSetSecurity. Cette action est réalisée avec le niveau de privilège System.

Cette vulnérabilité ne s’exploite que localement, elle peut toutefois être combinée avec une vulnérabilité d’exécution de code à distance.

Le CERT-FR rappelle ici l’importance d’installer les correctifs de sécurité dans les plus bref délais lorsque ceux-ci sont disponibles.

Jusqu’à ce que cette vulnérabilité soit corrigée, on peut considérer que si un attaquant arrive à exécuter du code sur une machine, il sera en mesure d’obtenir une compromission totale à moindre coût.

Contournement provisoire: (Sources)


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité (attaques) sur les réseaux et les systèmes d'informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents. Le traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d'informations avec d'autres CERTs, contribution à des études techniques spécifiques. L'établissement et maintenance d'une base de donnée des vulnérabilités, La prévention par diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou au pire leurs conséquences, La coordination éventuelle avec les autres entités ( centres de compétence réseaux, opérateurs et fournisseurs d'accès à Internet CERTs nationaux et internationaux).ANSSI

A propos de l'auteur

Retour en haut