L'équipe Project Zero de Google a rendu publics les détails d'une vulnérabilité de sécurité zero-day mal corrigée dans l'API Print Spooler de Windows qui pourrait être exploitée par un acteur malveillant pour exécuter du code arbitraire.
Les détails de la faille non corrigée ont été révélés publiquement alors que Microsoft ne l'a toujours pas corrigée pendant les 90 jours suivant la divulgation, le 24 septembre dernier.
Initialement suivie sous le nom CVE-2020-0986, la faille concerne une élévation de privilèges exploit dans l'API GDI Print / Print Spooler ("splwow64.exe") qui a été signalée à Microsoft par un utilisateur anonyme travaillant avec Zero Day Initiative (ZDI ) de retour fin décembre 2019.
Mais sans patch en vue pendant environ six mois, ZDI a fini par publier un avis public le 19 mai plus tôt cette année, après quoi elle a été exploité dans une campagne baptisée "Operation PowerFall" contre une société Sud Coréenne.
«splwow64.exe» est un binaire du système Windows qui permet aux applications 32 bits de se connecter au service de spouleur d'imprimante 64 bits sur les systèmes Windows 64 bits. Il implémente un serveur d'appel de procédure locale (LPC) qui peut être utilisé par d'autres processus pour accéder aux fonctions d'impression.
Une exploitation réussie de cette vulnérabilité pourrait amener un attaquant à manipuler la mémoire du processus "splwow64.exe" pour exécuter du code arbitraire en mode noyau, l'utilisant finalement pour installer des programmes malveillants; afficher, modifier ou supprimer des données; ou créez de nouveaux comptes avec tous les droits d'utilisateur.
Cependant, pour y parvenir, l'adversaire devrait d'abord se connecter au système cible en question.
Bien que Microsoft ait finalement corrigé cette lacune dans le cadre de sa mise à jour de juin Patch Tuesday, de nouvelles découvertes de l'équipe de sécurité de Google révèlent que la faille n'a pas été entièrement corrigée.
"La vulnérabilité existe toujours, seule la méthode d'exploitation devait changer", a déclaré Maddie Stone, chercheuse à Google Project Zero, dans un article.
"Le problème original était une déréférence de pointeur arbitraire qui permettait à l'attaquant de contrôler les pointeurs src et dest vers un memcpy", a détaillé Stone. "Le 'correctif' a simplement changé les pointeurs en décalages, ce qui permet toujours de contrôler les arguments vers le memcpy".
La faille d'élévation de privilège récemment signalée, identifiée comme CVE-2020-17008, devrait être résolue par Microsoft le 12 janvier 2021, en raison de «problèmes identifiés lors des tests» après avoir promis un correctif initial en novembre.
Stone a également partagé un code d'exploitation de preuve de concept (PoC) pour CVE-2020-17008, basé sur un POC publié par Kaspersky pour CVE-2020-0986.
"Il y a eu trop d'occurrences cette année de zéro-jour connu pour être activement exploité et corrigé de manière incorrecte ou incomplète", a déclaré Stone. «Lorsque les zero-days [dans la nature] ne sont pas complètement corrigés, les attaquants peuvent réutiliser leurs connaissances des vulnérabilités et exploiter des méthodes pour développer facilement de nouveaux 0-days.»
Source : Hacker News
