Microsoft vient de découvrir un produit gênant Huawei PC qui aurait pu accorder des attaquants avec un moyen facile de tempérer avec noyau Windows.
Selon le conseil de Huawei, "il existe une vulnérabilité d'élévation de privilèges dans le produit Huawei PCManager". Un attaquant pourrait inciter un utilisateur à installer et exécuter une application malveillante d'exploiter le bug et obtenir des privilèges plus élevés.
Cependant, ce n'est pas la seule vulnérabilité qui a été adressée. Il y a aussi une vulnérabilité d'exécution de code produit Huawei PCManager, qui aurait pu être abusé par des attaquants afin d'exécuter du code malveillant et de la mémoire de lecture / écriture.
Comment at-Microsoft Découvrez les vulnérabilités dans Huawei?
À partir de Windows 10, version 1809, Le noyau de Windows a de nouveaux capteurs (Les capteurs du noyau de Microsoft Defender protection contre les menaces avancées) conçu pour tracer injection de code APC de l'utilisateur initié par un code de noyau, qui sont destinés à détecter les menaces du noyau tels que l'exploit DOUBLEPULSAR. Le DOUBLEPULSAR est une porte dérobée du noyau utilisée par le ransomware WannaCry pour injecter la charge utile principale dans l'espace utilisateur.
Si, Microsoft Defender Research Team découvert un pilote une enquête sur une alerte soulevée par ces capteurs. L'équipe a tracé le comportement anormal à un pilote de gestion de l'appareil développé par Huawei. Plus tard, ils ont trouvé un lapse dans la conception qui a conduit à une vulnérabilité qui pourrait permettre une élévation des privilèges locaux.
Microsoft signalé sans délai la vulnérabilité identifiée comme CVE-2019-5241 pour Huawei, qui ont répondu rapidement et en Janvier 9, 2019, un correctif a été publié.
Quant à l'autre vulnérabilité, CVE-2019-5242, les chercheurs de Microsoft ont également découvert que «le pilote fourni une capacité de cartographier une page physique en mode utilisateur avec des autorisations RW":
Ce gestionnaire a permis d'invoquer un code en cours d'exécution avec des privilèges faibles en lecture-écriture au-delà des limites doivent traiter d'autres processus ou même à l'espace noyau. Ce, bien sûr, signifie un compromis de la machine complète.
Les deux vulnérabilités découvertes dans un pilote représentent l'importance de la conception de logiciels et de produits avec la sécurité à l'esprit, Microsoft a conclu.