Origine: bjCSIRT

Numéro: 2021/ALERTE/044

Date de l’alerte: 26/11/2021

APERÇU :

Un correctif de la vulnérabilité Windows ayant pour référence CVE-2021-41379, s’avère être insuffisant et donne naissance à une faille de type « 0-day » .

En effet, il est à présent possible, non seulement de contourner ce correctif, mais également d’obtenir une élévation des privilèges locaux et prendre le contrôle des systèmes affectés.

DESCRIPTION :

La faille découlant du correctif de la vulnérabilité CVE-2021-42306 permet la divulgation d’informations en l’occurrence sa confidentialité.

La preuve de concept surnommée « InstallerFileTakeOver », fonctionne en écrasant la liste de contrôle d’accès discrétionnaire (DACL) du Service Microsoft Edge « MicrosoftEdgeElevationService » afin de remplacer tout fichier exécutable sur le système par un fichier d’installation MSI, permettant à un attaquant d’exécuter le code avec les privilèges SYSTEM.

L’attaquant muni de privilèges d’administrateur pourrait commettre des abus d’accès et obtenir un contrôle total sur le système compromis, y compris la possibilité de télécharger des logiciels supplémentaires et de modifier, supprimer ou exfiltrer les informations sensibles stockées dans la machine.

La faille initiale a été résolue dans le cadre des mises à jour « Patch Tuesday de Microsoft pour novembre 2021 » il faudra rester dans l’attente d’un correctif à ce 0-day.

IMPACT :

• Atteinte à la confidentialité et l’intégrité des données ;
• Elévation de privilèges ;

SYSTEMES AFFECTÉS :

• Toutes les versions de Windows ;

MESURES À PRENDRE :

En attente d’une publication d’un correctif de sécurité par Microsoft en raison de la complexité de cette vulnérabilité.

REFERENCES :

• https://www.theregister.com/2021/11/23/windows_lpe/
• https://thehackernews.com/2021/11/warning-hackers-exploiting-new-windows.html
• https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/