Skip to main content

Une nouvelle vulnérabilité zero-day de Windows Installer affecte toutes les versions du système d’exploitation de Microsoft.

Le groupe de sécurité informatique Cisco Talos a découvert une nouvelle vulnérabilité qui affecte toutes les versions de Windows à ce jour, y compris Windows 11 et Server 2022. Cette vulnérabilité existe dans Windows Installer et permet aux pirates d’élever leurs privilèges pour devenir administrateur.

La découverte de cette vulnérabilité a conduit le groupe Cisco Talos à mettre à jour ses règles Snort, qui consistent en des règles pour détecter les attaques ciblant une liste de vulnérabilités. La liste mise à jour des règles comprend la vulnérabilité d’élévation des privilèges zero-day, ainsi que des règles nouvelles et modifiées pour les menaces émergentes provenant des navigateurs, des systèmes d’exploitation et des protocoles réseau, entre autres.

L’exploitation de cette vulnérabilité permet aux pirates avec un accès utilisateur limité d’élever leurs privilèges, agissant en tant qu’administrateur du système. La société de sécurité a déjà trouvé des échantillons de logiciels malveillants sur Internet, il y a donc de fortes chances que quelqu’un en ait déjà été victime.

La vulnérabilité avait déjà été signalée à Microsoft par Abdelhamid Naceri, chercheur en sécurité chez Microsoft, et aurait été corrigée avec le correctif CVE-2021-41379 le 9 novembre. Cependant, le correctif ne semblait pas être suffisant pour résoudre le problème, tant que le problème persiste, Naceri a publié la preuve de concept sur GitHub.

En termes simples, la preuve de concept montre comment un pirate informatique peut remplacer n’importe quel fichier exécutable sur le système par un fichier MSI à l’aide de la liste de contrôle d’accès discrétionnaire (DACL) pour Microsoft Edge Elevation Service.

Microsoft a évalué la vulnérabilité comme étant de « gravité moyenne », avec un score CVSS de base (système de notation des vulnérabilités communes) de 5,5 et un score temporel de 4,8. Maintenant qu’un code d’exploitation de preuve de concept fonctionnel est disponible, d’autres pourraient essayer d’en abuser davantage, augmentant éventuellement ces scores. Pour le moment, Microsoft n’a pas encore publié de nouvelle mise à jour pour atténuer la vulnérabilité.

Naceri semble avoir essayé de patcher le binaire lui-même, mais sans succès. Jusqu’à ce que Microsoft corrige la vulnérabilité, le groupe Cisco Talos recommande à ceux qui utilisent un pare-feu sécurisé Cisco de mettre à jour leurs règles définies avec les règles Snort 58635 et 58636 pour protéger les utilisateurs contre l’exploit.