Vulnérabilité d’élévation de privilèges dans Windows Installer

APERÇU 

Un correctif de la vulnérabilité Windows ayant pour référence CVE-2021-41379, s’avère être insuffisant et donne naissance à une faille de type « 0-day » .

En effet, il est à présent possible, non seulement de contourner ce correctif, mais également d’obtenir une élévation des privilèges locaux et prendre le contrôle des systèmes affectés.

DESCRIPTION 

La faille découlant du correctif de la vulnérabilité CVE-2021-42306 permet la divulgation d’informations en l’occurrence sa confidentialité.

La preuve de concept surnommée « InstallerFileTakeOver », fonctionne en écrasant la liste de contrôle d’accès discrétionnaire (DACL) du Service Microsoft Edge « MicrosoftEdgeElevationService » afin de remplacer tout fichier exécutable sur le système par un fichier d’installation MSI, permettant à un attaquant d’exécuter le code avec les privilèges SYSTEM.

L’attaquant muni de privilèges d’administrateur pourrait commettre des abus d’accès et obtenir un contrôle total sur le système compromis, y compris la possibilité de télécharger des logiciels supplémentaires et de modifier, supprimer ou exfiltrer les informations sensibles stockées dans la machine.

La faille initiale a été résolue dans le cadre des mises à jour « Patch Tuesday de Microsoft pour novembre 2021 » il faudra rester dans l’attente d’un correctif à ce 0-day.

RISQUES

  • Atteinte à la confidentialité et l’intégrité des données 
  • Elévation de privilèges 

SYSTEMES AFFECTÉS 

  • Toutes les versions de Windows 

MESURES À PRENDRE 

En attente d’une publication d’un correctif de sécurité par Microsoft en raison de la complexité de cette vulnérabilité.


Sources : bleepingcomputer, bjcsirt