Actu
CERT-XMCO : Elévation de privilèges via une vulnérabilité du planificateur de tâches (0day Stuxnet) (MS10-092)
décembre 2010 par CERT-XMCO
- Date : 15 Decembre 2010
- Plateforme : Windows
- Programme : Task Scheduler
- Gravité : Elevée
- Exploitation : Locale
- Dommage : Elévation de privilèges
- Description : Microsoft vient de corriger une vulnérabilité sur les systèmes d’exploitation Microsoft Vista, 7 et 2008. L’exploitation de cette vulnérabilité permettait à un attaquant local d’élever ses privilèges.
Pour rappel, il s’agit de la dernière vulnérabilité 0day exploitée par le virus/ver Stuxnet ciblant le planificateur de tâches des systèmes Windows récents.
La vulnérabilité était liée à une mauvaise validation de la correspondance entre une tâche planifiée exécutée et le contexte de sécurité associé (privilèges). En planifiant une tâche judicieusement forgée, un attaquant local pouvait forcer le planificateur à l’exécuter dans le contexte des comptes "SYSTEM" ou Administrateur. L’attaquant pouvait ainsi exécuter du code avec les privilèges les plus élevés sur un système Windows.
Note : un code d’exploitation pour le framework MetaSploit a été publié sur Internet (voir CXA-2010-1619)
Note 2 : ce correctif ne remplace aucun bulletin de sécurité précédent et nécessite un redémarrage.
- Vulnérable :
* Windows Vista SP1 et SP2 (Edition 32 bits et 64 bits)
* Windows Server 2008 et Windows Server 2008 SP2 (Edition 32 bits, 64 bits et Itanium)
* Windows 7 (Edition 32 bits et 64 bits)
* Windows Server 2008 R2 (Edition 64 bits et Itanium)
- Non Vulnérable :
* Windows XP SP3
* Windows XP Professionnel Édition x64 SP2
* Windows Server 2003 SP2
* Windows Server 2003 Édition x64 SP2
* Windows Server 2003 avec SP2 pour systèmes Itanium
- Référence :
[EN] http://www.microsoft.com/technet/security/bulletin/ms10-092.mspx
[FR] http://www.microsoft.com/france/technet/security/bulletin/ms10-092.mspx
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1619
- Référence CVE :
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3338
- Correction :
Le CERT-XMCO recommande d’installer le correctif MS10-092 disponible sur le site de l’éditeur aux adresses suivantes :
* Windows Vista SP1 et SP2 :
http://www.microsoft.com/downloads/details.aspx?familyid=48F10251-34D8-4149-B4B2-BF3EC28F5846
* Windows Vista x64 Edition SP1 et SP2 :
http://www.microsoft.com/downloads/details.aspx?familyid=099CCC5F-B92F-4D06-BCB5-92E35C49F613
* Windows Server 2008 et Windows Server 2008 SP2 (Edition 32 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=BDC9564A-4091-4CDE-963A-239513DB6C17
* Windows Server 2008 et Windows Server 2008 SP2 (Edition 64 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=DFF39BFE-0799-4912-AE22-392562178AE6
* Windows Server 2008 et Windows Server 2008 SP2 (Edition Itanium) :
http://www.microsoft.com/downloads/details.aspx?familyid=CF341A35-32EA-4FF7-ACA9-1A4683C100EE
* Windows 7 (Edition 32 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=CF85CDB6-58C7-4144-82F6-F01A6A4F9C3A
* Windows 7 (Edition 64 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=0597018D-39F5-4CA9-B437-63D9E68F264D
* Windows Server 2008 R2 (Edition 64 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=28C832FB-4937-4652-8799-EAB6C76D05FB
* Windows Server 2008 R2 (Edition Itanium) :
http://www.microsoft.com/downloads/details.aspx?familyid=3AD64D5C-2D81-4AC8-934E-8917B2FCF961
- Lien extranet XMCO Partners :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1757
