Des pirates exploitent une nouvelle faille zero-day de l'installateur Windows 11
Charles Gouin-Peyrot
Publié le 25 novembre 2021 · 2 min de lecture
L'exploit de preuve de concept (PoC), baptisé "InstallerFileTakeOver", fonctionne en écrasant la liste de contrôle d'accès discrétionnaire (DACL) pour le service d'élévation Microsoft Edge afin de remplacer tout fichier exécutable sur le système par un fichier d'installation MSI, ce qui permet à un attaquant d'exécuter du code avec les privilèges SYSTEM.
Un hacker disposant de privilèges d'administrateur pourrait alors abuser de cet accès pour prendre le contrôle total du système compromis, y compris la possibilité de télécharger des logiciels supplémentaires. Il serait également possible de modifier, supprimer ou exfiltrer des informations sensibles stockées dans la machine.
"Je peux confirmer que cela fonctionne, esc priv local. Testé sur Windows 10 20H2 et Windows 11. Le patch précédent publié par MS n'a pas corrigé le problème correctement" - a tweeté le chercheur en sécurité Kevin Beaumont, corroborant les résultats.Naceri a noté que la dernière variante de CVE-2021-41379 est "plus puissante que la variante originale" et que le meilleur plan d'action serait d'attendre que Microsoft publie un correctif de sécurité pour le problème "en raison de la complexité de cette vulnérabilité."
L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.