30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

CERT-XMCO : Elévation de privilèges via plusieurs vulnérabilités au sein du pilote de périphérique noyau Win32k.sys (MS10-073)

octobre 2010 par Vigil@nce

- Date : 12 Octobre 2010

- Plateforme : Windows

- Programme : Noyau Windows

- Gravité : Urgente

- Exploitation : Locale

- Dommage : Elévation de privilèges

- Description :

Trois vulnérabilités ont été corrigées au sein des systèmes Windows. L’exploitation de celles-ci permettait à un attaquant d’élever ses privilèges.

Les trois failles de sécurité provenaient d’erreurs au sein du pilote de périphérique noyau des systèmes Windows (Win32k.sys). Ce gestionnaire permet de contrôler le gestionnaire de fenêtres, les affichages à l’écran ou encore les entrées du clavier et de la souris. Les erreurs étaient liées à une mauvaise gestion du nombre de pointeurs d’un objet (CVE-2010-2549, CXA-2010-0839 et [1]), d’une classe de fenêtres (CVE-2010-2744) ou encore lors du chargement de la configuration du clavier depuis un disque (CVE-2010-2743).

La première vulnérabilité provenait de la façon dont les pilotes en mode noyau conservaient leur compteur de références sur un objet (CVE-2010-2549). La faille pouvait plus précisément être exploitée par un pirate afin de provoquer une erreur de type "use-after-free" en effectuant un grand nombre d’appels à la fonction "NtUserCheckAccessForIntegrityLevel()" provoquant ainsi une erreur au sein de la fonction "LockProcessByClientId()". (voir CXA-2010-0839)
La deuxième vulnérabilité était liée à la façon dont les pilotes en mode noyau de Windows chargeaient des configurations de clavier spécifiques (CVE-2010-2743).

Enfin, la dernière faille de sécurité était due à un manque de validation des données provenant des classes de fenêtres (CVE-2010-2744).

Pour rappel, le ver Stuxnet exploitait la vulnérabilité liée à la configuration du clavier pour infecter des systèmes depuis une clé USB.

En exécutant une application qui exploiterait l’une de ces vulnérabilités, un attaquant local préalablement authentifié était en mesure d’obtenir des privilèges élevés sur le système vulnérable.

Note : l’application de ce correctif nécessite un redémarrage.

Note 2 : ce bulletin remplace le précédent correctif MS10-048.

- Exploit :

Un code d’exploitation est disponible sur notre extranet

- Vulnérable :

* Windows XP SP3
* Windows XP Professionnel SP2 (Edition 64 bits)
* Windows Server 2003 SP2 (Edition 32bits, 64 bits et Itanium)
* Windows Vista SP1 et SP2 (Edition 32 et 64 bits)
* Windows Server 2008 et Windows Server 2008 SP2 (Edition 64 bits et Itanium)
* Windows 7 (Edition 32 et 64 bits)
* Windows Server 2008 R2 (Edition 64 bits et Itanium)

- Référence :

[FR] http://www.microsoft.com/france/technet/security/bulletin/MS10-073.mspx

[EN] http://www.microsoft.com/technet/security/bulletin/MS10-073.mspx

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0839

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1306

http://www.exploit-db.com/exploits/14156/

- Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2549

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2743

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2744

- Correction :

Le CERT-XMCO recommande l’application de ce correctif en urgence afin de limiter le risque d’infection par le ver Stuxnet.