Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET découvre un nouvel exploit zero-day pour Windows utilisé dans une attaque extrêmement ciblée

juillet 2019 par ESET

Les chercheurs d’ESET ont récemment découvert un exploit Windows de type zero-day utilisé dans le cadre d’une attaque très ciblée en Europe de l’Est. Cet exploit reposait sur une vulnérabilité inédite d’escalade des privilèges locaux sur Windows.

ESET a immédiatement signalé le problème aux équipes du centre de réponse aux incidents de Microsoft (MSRC), ce qui a permis à l’éditeur de corriger la vulnérabilité et de publier un correctif.

L’exploit ne fonctionnera cependant que sur certaines versions plus anciennes de Windows. À partir de Windows 8, en effet, un processus utilisateur n’est plus autorisé à mapper la page NULL, ce qui est un prérequis nécessaire à la réussite de cette attaque.

La vulnérabilité exploitée se trouve dans win32k.sys et, comme d’autres de la même famille, utilise le menu contextuel pour son déploiement. «  Par exemple, l’exploit d’escalade des privilèges locaux du groupe Sednit que nous avons analysé en 2017 utilisait déjà des objets de menu et des techniques d’exploitation très similaires à celle-ci  », explique Anton Cherepanov, le chercheur ESET à l’origine de la découverte.

La vulnérabilité (référencée en tant que CVE-2019-1132) affecte :
- Windows 7 — Service Pack 1 sur les systèmes 32 bits  ;
- Windows 7 — Service Pack 1 sur les systèmes x64  ;
- Windows Server 2008 – Service Pack 2 sur les systèmes 32 bits  ;
- Windows Server 2008 – Service Pack 2 sur les systèmes Itanium  ;
- Windows Server 2008 – Service Pack 2 sur les systèmes x64  ;
- Windows Server 2008 – Service Pack 1 sur les systèmes Itanium  ;
- Windows Server 2008 R2 sur les systèmes x64.

A noter que Windows XP et Windows Server 2003 sont également vulnérables, mais ces versions ne sont plus supportées par Microsoft.

«  Les utilisateurs qui utilisent encore le Service Pack 1 de Windows 7 devraient envisager une mise à jour vers de nouveaux systèmes d’exploitation, car le support étendu du Service Pack 1 de Windows 7 prendra fin le 14 janvier 2020. Ce qui signifie que les utilisateurs de Windows 7 ne recevront alors plus les mises à jour de sécurité critiques  » met en garde Anton Cherepanov.

Pour plus de détails techniques sur cette vulnérabilité zero-day, consultez notre billet "L’exploit jour zéro CVE 2019 1132 utilisé pour des attaques ciblées", sur notre blog WeLiveSecurity.com.




Voir les articles précédents

    

Voir les articles suivants