Les chercheurs de Google trouvent une LPE zero-day sur les OS Windows

Récemment, le Groupe Google Threat Analysis a encore fait parlé de lui en trouvant une faille Zero-Day sur Windows, celle-ci semble déjà utilisée dans la nature. Ils ne sont donc pas les premiers à faire cette découverte.


Je vous indiquait la semaine dernière que le groupe Google Threat Analysis avait trouvé une faille dans la dernière version de Flash Player (CVE-2016-7855), nous apprenons aujourd’hui que le même jour, ce groupe de chercheur en sécurité sponsorisé par Google a également remonté une anomalie dans le fichier win32k.sys des OS Windows (tous les OS Windows), amenant à une élévation de privilège.

Pour rappel, un vulnérabilité de type élévation de privilège, souvent nommées LPE (Local Privilege Escalation) permettent à un utilisateur de passer d’un contexte avec des droits restreints à un contexte avec des droits plus élevés, par exemple en devenant administrateur du système ou du domaine, ou en s’accaparant le rôle “SYSTEM” qui possède tous les droits sur un OS Windows. Il s’agit ensuite d’une porte ouverte à la prise de contrôle totale de l’OS, par exemple pour y installer une backdoor, un accès durable ou un keylogger.

Le fichier win32k.sys est un fichier qui contient des fonctions permettant de gérer l’envoi de contenu graphique à des périphériques externes (imprimantes, écrans…) en kernel-mode, notamment quand ces sorties sont en relations avec le pilote graphique, avec lequel win32k.sys communique directement. Après 7 jours, cette vulnérabilité est rendue public alors qu’aucun patch de sécurité ou correctif ne semble disponible.

La “Disclosure Timeline for vulnerability” du groupe de chercheurs “Google Threat Analysis” mentionne effet le besoin de fixer les vulnérabilités très critiques en 7 jours (dans les 60 jours pour les vulnérabilités moins critiques). Admettant que ce délais est tout de même très court. Le groupe justifie cette timeline “agressive” par la possibilité, en général, de publier un patch temporaire (type désactivation du service), peut être même par les utilisateurs eux-même. Le but ici est donc de contourner la lenteur des processus de déploiement d’un patch afin que les utilisateurs puissent appliquer eux même des correctifs temporaires pour se protéger.

Source : Disclosure timeline for vulnerabilities under active attack

Voici les dires de Neel Mehta et Billy Leonard du group “Google Threat Analysis”

“After 7 days, per our published policy for actively exploited critical vulnerabilities, we are today disclosing the existence of a remaining critical vulnerability in Windows for which no advisory or fix has yet been released, […] This vulnerability is particularly serious because we know it is being actively exploited.”

Pour ce qui est des impacts directs de cette vulnérabilité, il s’agit de la possibilité de s’échapper de la sandbox de sécurité Windows, qui d’ordinaire n’autorise l’exécution que des applications “user-level” sans besoin de droits administrateurs, appliquant au passage des politiques de sécurité précises en ce qui concerne les accès au système.

Cependant, la présente faille semble utiliser des appels spécifiques du fichier win32.sys (l’appel système NtSetWindowLongPtr()) afin d’exécuter du code qui permet une élévation de privilèges et une exécution de code hors de la sandbox. Rappelons qu’une problème similaire avait été remonté a Microsoft en Juin : Microsoft Security Bulletin MS16-073 – Important

On ignore comment, mais les chercheurs de Google indiquent qu’ils savent que cette vulnérabilité est d’ors et déjà exploitée “in the wild”, c’est à dire dans la nature, par d’autres chercheurs ayant trouvé cette vulnérabilité avant eux, et certainement à des fins malicieuses.

Pour Information, les navigateurs sont ici un vecteur d’exploitation à distance de cette vulnérabilité, cependant, Google Chrome semble déjà bloquer celle-ci avec un mécanisme qui, sous Windows 10, refuse explicitement l’accès à cette librairie wink32.sys nommé “Win32k LockDown” : Chromium Win32k system call lockdown

Les LPE (Local Privilege Escalation) sont fortement appréciées des attaquants et autres pirates informatiques en tout genre. En soit l’accès à un OS Windows est relativement restreint si l’on ne parvient pas à élever ses privilèges. Pour rappel, cette vulnérabilité semble affecter toutes les versions de l’OS Windows.

Voici l’annonce de Neel Mehta and Billy Leonard du “Threat Analysis Group” : https://security.googleblog.com/2016/10/disclosing-vulnerabilities-to-protect.html

[UPDATE 02/11/16] : Plusieurs informations apparaissent au fur et a mesure de la journée. On apprend sans surprise que Windows conteste les méthodes de Google concernant sa politique de divulgation de ce type de vulnérabilité. Selon Microsoft, ce genre de comportement met les utilisateurs en danger : Divulgation vulnérabilité Windows 10 : Google et Microsoft en désaccord

On soulignera également que Microsoft indique que la dernière version de Windows 10, anniversary update, n’est pas vulnérable à cette dernière attaque, notamment lorsque l’on utilise Edge.

Il apparait clair pour Microsoft que cette vulnérabilité, ainsi que la récente vulnérabilité concernant Flash player, ait été utilisée par un groupe de pirate Russe, identifié comme les “STRONTIUM” ou encore “APT28”. Selon les dires des deux firmes, ces vulnérabilités ont été utilisées communément dans des cas très précis de spear phishing.

Quoi qu’il en soit, Microsoft indique qu’un correctif sera déployé dans le prochain patch Tuesday, le 8 novembre.

Note : Cet article sera mis à jour si des détails techniques supplémentaires apparaissent ou si des nouvelles concernant le correctif officiel sont apportées. Pensez à repasser ! 🙂

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *