Après avoir révélé une vulnérabilité sur le navigateur Edge que Microsoft n’a pas encore corrigée et qui permet de contourner le mécanisme de sécurité ACG, l’équipe Project Zero de Google a rendu publique une autre faille de sécurité. Cette fois-ci, le billet parle d’une faille qui touche Windows 10 Fall Creators Update (version 1709), mais peut également affecter d’autres versions de Windows.
Cette fois-ci, Microsoft semble avoir colmaté la faille, partiellement en tout cas, dans son Patch Tuesday de février.
En novembre, James Forshaw, chercheur du Project Zero, a signalé à Microsoft une paire de bogues affectant la même fonction dans Windows 10. Google les a étiquetés par les numéros 1427 et 1428. Bien entendu, un code de PoC a été transmis à Microsoft.
C’est le bogue qui a reçu l’identifiant CVE-2018-0826 que Microsoft a corrigé ce mois-ci, l’évaluant comme « important » et « plus susceptible » d’être exploité.
Dans une note accompagnant la diffusion de la mise à jour, Microsoft a expliqué « Il existe une vulnérabilité d’élévation de privilèges lorsque les services de stockage traitent de façon incorrecte les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter des processus dans un contexte élevé.
« Pour exploiter cette vulnérabilité, un attaquant devrait d’abord ouvrir une session sur le système, puis exécuter une application spécialement conçue pour prendre le contrôle du système affecté.
« La mise à jour corrige la vulnérabilité en modifiant la manière dont les services de stockage traitent les objets en mémoire. »
Cependant, selon Forshaw, le correctif de Microsoft a seulement résolu le problème 1427, en dépit du fait qu’il avait déposé deux rapports pour s’assurer que ce « problème plus pointu » décrit dans le numéro 1428 ne soit pas manqué.
« Notez qu’il s’agit d’un deuxième bogue dans la même fonction, que je soumets séparément pour m’assurer que le correctif résultant ne manque pas non plus à ce cas », écrivait alors Forshaw en novembre.
Cette semaine, il a mis à jour sa publication : « Après avoir examiné le correctif pour ce problème [Microsoft] ne l’a pas corrigé, même si le rapport était assez précis pour ne pas oublier ce problème plus pointu. Aussi, étant donné qu’il n’a pas été résolu, son statut est passé à New. »
Selon Forshaw, les évaluateurs de Redmond ont décidé que les deux problèmes étaient des doublons.
Il faut préciser que tandis que Google a classé le problème dans la catégorie « élevée », Microsoft l’a classé dans la catégorie « important ». Forshaw a tenté de donner une explication à la différence observée dans l’évaluation des problèmes de sécurité :
« Microsoft considère ce problème comme étant “important “, mais pas fondamentalement comme étant un problème “critique”, car il s’agit d’une élévation de privilèges qui permet à un utilisateur normal d’obtenir des privilèges d’administrateur. Cependant, pour profiter de la faille, votre code doit déjà s’exécuter sur le système à un niveau de privilège utilisateur normal. »
De plus, le système « ne peut pas être attaqué à distance (sans attaquer un problème totalement indépendant pour obtenir l’exécution de code à distance), et ne peut pas non plus être utilisé à partir d’un sandbox comme ceux utilisés par Edge et Chrome. Aussi, marquer cette faille comme étant d’une grande sévérité reflète la facilité d’exploitation de ce genre de problème. Il est facile à exploiter, mais le classement ne tient pas en compte des conditions préalables à l’exploitation du problème. »
Microsoft pense être en mesure de gérer ce problème dans son Patch Tuesday de mars.
Source : Microsoft