CVE-2021-41379 est une vulnérabilité d'élévation de privilèges que Microsoft a corrigée plus tôt ce mois-ci. Cependant, il s'avère qu'il y a un autre, variante "plus puissante", découvert par le chercheur en sécurité Abdelhamid Naceri. Il est tombé sur une faille EoP de Windows Installer patché par Microsoft il y a plusieurs semaines dans le cadre de novembre 2021 Patch Tuesday.
L'histoire derrière CVE-2021-41379 Bug d'élévation des privilèges
Naceri a analysé le patch officiel et a trouvé un contournement, parallèlement à un problème d'escalade des privilèges zero-day encore plus dangereux. Un code d'exploitation de code de preuve de concept, surnommé InstallerFileTakeOver, est également disponible sur GitHub. La vulnérabilité peut être exploitée contre toutes les versions du système d'exploitation Windows actuellement prises en charge, permettre aux acteurs malveillants de prendre le contrôle de Windows 10, Fenêtres 11 et Windows Server. La seule condition nécessaire est d'être connecté à une machine Windows sur laquelle le navigateur Edge est installé.
Comme l'a souligné Cisco Talos dans une analyse distincte de l'événement, "le correctif publié par Microsoft n'était pas suffisant pour corriger la vulnérabilité, et Naceri ont publié un code d'exploitation de preuve de concept sur GitHub en novembre. 22 qui fonctionne malgré les correctifs mis en œuvre par Microsoft.
L'exploit InstallerFileTakeOver PoC exploite la liste de contrôle d'accès discrétionnaire (aborder) pour que Microsoft Edge Elevation Service remplace tout fichier exécutable du système par un fichier MSI, permettant ainsi aux acteurs malveillants d'exécuter du code en tant qu'administrateur.
CVE-2021-41379 a initialement reçu un statut de gravité moyenne, mais la publication de la preuve de concept entièrement fonctionnelle ajoute un autre niveau de menace à la vulnérabilité. Actuellement, il n'y a pas de correctif disponible auprès de Microsoft.
Dans 2020, une autre vulnérabilité de Microsoft s'est démarquée dans la foule des bogues, comme la société omis de l'aborder pour 2 ans.
La vulnérabilité CVE-2020-1464 faisait partie du 120 failles de sécurité corrigées dans le Patch Tuesday d'août de l'année dernière. Le bogue a été activement exposé dans des attaques malveillantes pendant au moins deux ans avant que Microsoft ne le corrige. Le problème était une faille d'usurpation d'identité déclenchée par la mauvaise façon dont Windows valide les signatures de fichiers. Dans le cas d'un exploit réussi, l'attaquant pourrait contourner les fonctions de sécurité et charger des fichiers mal signés.