Des pirates exploitent une nouvelle faille zero-day de l’installateur Windows 11

Charles Gouin-Peyrot
Charles Gouin-Peyrot
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.

Les hackers s’efforcent activement d’exploiter une nouvelle variante d’une vulnérabilité d’élévation de privilèges récemment divulguée afin d’exécuter un code sur des systèmes entièrement corrigés, démontrant une fois de plus que les hacker agissent rapidement pour exploiter un exploit disponible publiquement.

Cisco Talos a révélé avoir « détecté des échantillons de logiciels malveillants dans la nature qui tentent de tirer parti de cette vulnérabilité ».

Repérée sous le nom de CVE-2021-41379 et découverte par le chercheur en sécurité Abdelhamid Naceri, la faille d’élévation de privilège affectant le composant logiciel Windows Installer a été initialement résolue dans le cadre des mises à jour Patch Tuesday de Microsoft pour novembre 2021.

D'autres articles intéressants

Le Pixel 9 Pro Fold de Google serait prévu pour octobre
Mac App Store : Des applications chinoises frauduleuses
iPhone 14 Plus : Le nouveau smartphone XXL achève le Mini
Sharp présente deux nouvelles trottinettes électriques
La machine virtuelle Windows 11 Enterprise disponible pour les développeurs

Cependant, dans ce qui est un cas de correctif insuffisant, Naceri a découvert qu’il était non seulement possible de contourner le correctif mis en place par Microsoft, mais aussi de réaliser une élévation locale des privilèges via un bug zero-day récemment découvert.

L’exploit de preuve de concept (PoC), baptisé « InstallerFileTakeOver », fonctionne en écrasant la liste de contrôle d’accès discrétionnaire (DACL) pour le service d’élévation Microsoft Edge afin de remplacer tout fichier exécutable sur le système par un fichier d’installation MSI, ce qui permet à un attaquant d’exécuter du code avec les privilèges SYSTEM.

Un hacker disposant de privilèges d’administrateur pourrait alors abuser de cet accès pour prendre le contrôle total du système compromis, y compris la possibilité de télécharger des logiciels supplémentaires. Il serait également possible de modifier, supprimer ou exfiltrer des informations sensibles stockées dans la machine.

« Je peux confirmer que cela fonctionne, esc priv local. Testé sur Windows 10 20H2 et Windows 11. Le patch précédent publié par MS n’a pas corrigé le problème correctement » – a tweeté le chercheur en sécurité Kevin Beaumont, corroborant les résultats.

Naceri a noté que la dernière variante de CVE-2021-41379 est « plus puissante que la variante originale » et que le meilleur plan d’action serait d’attendre que Microsoft publie un correctif de sécurité pour le problème « en raison de la complexité de cette vulnérabilité. »

Partager cet article
ByCharles Gouin-Peyrot
Suivre
Passionné d'informatique depuis mon plus jeune âge, expert en tests de produits high-tech depuis plus de 10 ans, je touche un peu à tout dans le domaine. J'ai pour habitude de dire que je teste tout ce qui se connecte à internet, passant aussi bien d'une TV à un smartphone, à un robot tondeuse ou une montre connectée, sans aucune difficulté. Un genre de touche à tout de la tech !
1 note
  • Jim says:

    C’est n’importe quoi ? À quoi ça sert de divulguer une faille de sécurité ? C’est quoi leur problème ?

    Répondre

Laisser une note

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Réseaux sociaux

Publicité

Vous aimerez aussi ...