Des chercheurs de Google révèlent une faille d'escalade de privilèges dans Windows

L’équipe Project Zero (GPZ) de Google a annoncé mercredi une faille zero-day de haute sévérité dans Windows, qui, si elle est exploitée, peut provoquer une élévation de privilèges. Étant donné que le fabricant de puces n’a pas été en mesure de développer un correctif adéquat dans les 90 jours suivant la notification de Project Zero, Google a maintenant publié les détails du bug.

Pour ceux qui ne le savent pas, selon la politique de divulgation révisée, GPZ doit attendre au moins 90 jours avant de révéler publiquement les détails d’un bug de sécurité, même si le bug est corrigé avant cette date limite. De plus, les fournisseurs peuvent demander une période de grâce supplémentaire de 14 jours à Google s’ils estiment qu’ils ne pourront pas corriger la vulnérabilité signalée dans les 90 jours.

La faille concerne un processus à faible intégrité qui peut envoyer des messages LPC à splwow64.exe (intégrité moyenne) et obtenir un primitive write-what-where dans l’espace mémoire de splwow64. L’exploitation réussie de cette vulnérabilité pourrait permettre à l’attaquant de contrôler la destination, le contenu qui est copié et le nombre d’octets copiés via un appel memcpy.

Cette faille zero-day dans Windows (suivie à l’origine comme CVE-2020-0986) n’est apparemment pas nouvelle. Elle a en fait été découverte par un chercheur en sécurité chez Kaspersky cet été, qui a ensuite été corrigée par Microsoft en juin.

« Une vulnérabilité d’élévation de privilèges existe lorsque le noyau Windows ne parvient pas à gérer correctement les objets en mémoire. Un attaquant qui exploite avec succès cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau. Un attaquant pourrait alors installer des programmes ; visualiser, modifier ou supprimer des données ; ou créer de nouveaux comptes avec des droits d’utilisateur complets », avait déclaré Microsoft dans un avis publié en juin.

La mise à jour de juin de Microsoft comprenait un correctif qui traitait la vulnérabilité en corrigeant la manière dont le noyau Windows gère les objets en mémoire. Cependant, selon Maddie Stone, une chercheuse de Google Project Zero, ce correctif a maintenant été jugé incomplet, car il ne change que les pointeurs vers un décalage permettant aux attaquants de l’exploiter.

« Microsoft a publié un correctif en juin, mais ce correctif n’a pas corrigé la vulnérabilité », a-t-elle tweeté mercredi. « Après avoir signalé ce mauvais correctif en septembre dans le cadre d’un délai de 90 jours, ce n’est toujours pas corrigé. »

Elle a ajouté : « Le problème d’origine était un déréférencement de pointeur arbitraire qui permettait à l’attaquant de contrôler les pointeurs src et dest d’un memcpy. Le ‘correctif’ a simplement changé les pointeurs en décalages, ce qui permet toujours de contrôler les arguments du memcpy. »

Microsoft a attribué un nouveau CVE, CVE-2020-17008 pour le problème, qui devrait être résolu par la société le 12 janvier 2021, en raison de « problèmes identifiés lors des tests » après avoir prévu de publier un correctif en novembre. Pendant ce temps, Project Zero a divulgué publiquement la vulnérabilité avec un code de preuve de concept pour le problème.