Une vulnérabilité dans Windows permet le vol d'informations d'identification sans interaction de l'utilisateur. Vulnérabilité Windows actuelle

Des menaces et des risques se cachent même dans les systèmes d'exploitation les plus fiables et les plus connus, ainsi qu'en termes de vulnérabilités qui peuvent être exploitées pour mener des attaques Zero Day.

Il y a quelques jours, on a découvert une nouvelle vulnérabilité dans Windows qui affecte négativement le fonctionnement de ce système d'exploitation et met en danger tous les PC utilisant Windows 10, même si elle affecte apparemment toutes les versions.

Détails de la nouvelle vulnérabilité

Certains chercheurs ont découvert une vulnérabilité qui se produit dans le Planificateur de tâches Windows, notamment dans l'appel de procédure locale APLC (Advanced Local Procedure Call). Une fois identifiés, d’autres utilisateurs ont également enquêté et confirmé l’existence de ce risque. L'un de ces utilisateurs est Phil Dohrmann, analyste de vulnérabilité au CERT/CC, qui confirmé que les versions 64 bits de Windows 10 présentent toujours cette faille de sécurité.

Ce contrôle d'interface est chargé d'aider le processus client à communiquer avec le processus serveur. L'exploitation de cette vulnérabilité permet aux utilisateurs locaux d'obtenir des droits système élevés et ainsi de prendre le contrôle de l'appareil.

Il n'existe actuellement aucun correctif disponible pour résoudre cette vulnérabilité. Cependant, Microsoft a déclaré qu'il était conscient de cette vulnérabilité et qu'il travaillait dur pour résoudre le problème le plus rapidement possible afin de publier un correctif pour corriger la vulnérabilité. Le correctif devrait être disponible sur tous les appareils cibles via Windows Update dans les prochains jours.

Si nous parlons de correctifs, le plus important est de savoir quelles vulnérabilités existent dans le système et quels correctifs doivent être appliqués. Du point de vue de la sécurité du réseau d'entreprise, avec Panda Patch Management, vous pouvez gérer les vulnérabilités et leurs mises à jour et correctifs correspondants pour les systèmes d'exploitation et des centaines d'applications tierces. Patch Management audite, surveille et hiérarchise les mises à jour des systèmes d'exploitation et des applications, complétant ainsi vos défenses et renforçant votre capacité à prévenir, contenir et répondre aux menaces afin de réduire considérablement votre surface d'attaque.

La solution offre une visibilité en temps réel sur la santé des points finaux en termes de vulnérabilités, de correctifs ou de mises à jour manquantes, et de logiciels non pris en charge en fin de vie (EoL).

Alors que Microsoft publie un correctif pour remédier à cette faille de sécurité, Panda propose les recommandations suivantes pour protéger votre réseau d'entreprise :

• Disposer d’un logiciel anti-exploit peut vous aider à vous protéger contre les attaques graves. La solution de sécurité avancée comprend une détection dynamique des exploits qui protège les navigateurs Web et leurs plugins, ainsi que d'autres composants installés sur les ordinateurs.
• Soyez extrêmement prudent avec les fichiers que vous téléchargez à partir de sites ou d'appareils physiques dangereux.
• Le jour zéro signifie un problème qui n’a pas encore de solution. C'est pourquoi nous recommandons d'avoir des défenses multicouches comme celle proposée par Panda Adaptive Defense, qui suit une stratégie de sécurité complète basée sur différents types de logiciels et de technologies de sécurité.
• L'application des correctifs et des mises à jour fournis par vos fournisseurs de logiciels réduit le risque d'être victime de vulnérabilités. Cette approche garantit également que la vulnérabilité ne devient pas un outil permettant de commettre des cybercriminels. Ces attaques Zero Day sont menées contre des applications ou des systèmes pour lancer un code malveillant qui exploite la connaissance d'une vulnérabilité inconnue du public ou du fabricant.

Réduisez les risques et simplifiez les tâches de gestion des vulnérabilités.

Microsoft a fourni un correctif pour une vulnérabilité dangereuse qui permet de voler les hachages de mots de passe NTLM sans aucune interaction de l'utilisateur (bulletin ADV170014). Cependant, jusqu'à présent, la vulnérabilité n'a été corrigée que dans Windows 10 et Server 2016, et le spécialiste colombien de la cybersécurité, Juan Diego, qui a découvert le bug, n'a toujours pas été en mesure de comprendre la cause exacte du problème.

L’exploitation de la vulnérabilité est très simple et ne nécessite aucune formation ou connaissance technique. Un attaquant doit simplement placer un fichier SCF (Shell Command File) malveillant dans un répertoire Windows accessible au public. Après cela, grâce à un bug mystérieux, le fichier sera exécuté, collectera le hachage NTLM et enverra les données collectées au serveur de l'attaquant. Après cela, l’attaquant n’aura plus qu’à déchiffrer le hachage obtenu.

Heureusement, pour la plupart des utilisateurs, de telles attaques ne constituent pas une menace. Le fait est que par défaut, les dossiers publics de Windows sont protégés par mot de passe et la présence d'un mot de passe met immédiatement fin à une attaque. Cependant, sur son blog, Diego note que de nombreuses écoles, réseaux publics et entreprises ne définissent pas de mots de passe pour les annuaires publics. De plus, les correctifs ne sont disponibles que pour les utilisateurs de Windows 10 et Windows Server 2016, tandis que les autres versions du système d'exploitation sont toujours vulnérables.

Dans le même temps, Diego n’arrive toujours pas à comprendre comment fonctionne exactement ce bug. Le chercheur a expliqué en détail aux journalistes de Bleeping Computer que les fichiers SCF prennent en charge un ensemble limité de commandes pour l'Explorateur Windows (par exemple, ouvrir une fenêtre de l'Explorateur Windows ou accéder au Bureau - Afficher le Bureau). Mais si les attaques précédentes utilisant SCF supposaient que le bug fonctionnerait lorsque la victime ouvrirait le dossier cible, cette fois Diego a découvert que la commande malveillante du fichier SCF était déclenchée immédiatement après avoir placé le malware dans le répertoire. Autrement dit, l'attaquant n'a même pas besoin d'attendre que l'utilisateur ouvre le dossier partagé souhaité.

« Cette attaque fonctionne automatiquement. Mais le problème sous-jacent qui le déclenche m’est encore inconnu. Microsoft reste discret à ce sujet», explique le spécialiste.

Diego rapporte qu'il travaille déjà sur d'autres moyens d'exploiter la vulnérabilité. Et bien que dans le bulletin de classification ADV170014 de Microsoft soit consultatif et non obligatoire, le chercheur recommande fortement aux utilisateurs de ne pas négliger ces correctifs et mises à jour.

Une vulnérabilité de 0 jour qui permet aux attaquants d'obtenir des droits au niveau du système. Le problème a été signalé par un utilisateur de Twitter sous le surnom de SandboxEscaper. Le code d’exploit PoC est disponible sur GitHub.

Vulnérabilité Windows actuelle

Le problème vient du planificateur de tâches Windows. Lors du traitement d'ALPC pour la communication interprocessus, il est possible d'obtenir des privilèges de niveau SYSTÈME. Il peut être utilisé par des attaquants pour améliorer les capacités des logiciels malveillants.

Selon le chef du centre de coordination du CERT, Will Dormann, la vulnérabilité reste d'actualité. La fonctionnalité du code PoC a été testée sur Windows 10 64 bits avec les dernières mises à jour. Vous pouvez augmenter les droits des utilisateurs jusqu'au niveau SYSTÈME.

J'ai confirmé que cela fonctionne bien dans un système Windows 10 64 bits entièrement corrigé.
LPE droit au SYSTÈME ! https://t.co/My1IevbWbz

En réponse à une lettre de The Register, un représentant de Microsoft a annoncé qu'il était au courant du problème. La société a promis de publier une mise à jour corrigeant la vulnérabilité.

Correctif temporaire

Ingénieurs Acros Sécurité publié un correctif temporaire pour une vulnérabilité dans la version 64 bits de Windows 10 v1803 dans le cadre de leur plate-forme 0patch. Il est conçu pour corriger les vulnérabilités de type 0-day et autres vulnérabilités non corrigées, afin de prendre en charge les produits obsolètes et les logiciels personnalisés. Les développeurs ont publié un correctif similaire pour Windows 2016 Server le 31 août 2018.

Des problèmes similaires surviennent sur les systèmes de type Unix. En juin 2017, un bug vous permettait d'obtenir les privilèges root à l'aide de la commande sudo.

Le chercheur de SpecterOps, Matt Nelson, a écrit dans un blog d'entreprise sur la manière de contourner les fonctionnalités de sécurité de Windows 10 et d'exécuter du code tiers, rapporte Threatpost.

La vulnérabilité s'est avérée être associée à un nouveau format de liens système qui a remplacé le panneau de configuration classique dans la dernière version du système d'exploitation.

Selon l'expert, il s'est fixé pour objectif de trouver un type de fichier qui lui permettrait d'exécuter du code à partir d'une source externe. Pour pénétrer dans le système, Nelson a décidé d'utiliser la fonction Object Linking and Embedding (OLE). Il permet aux applications de recevoir des données de l'extérieur et d'ajouter des objets exécutables, comme une application Flash à un document Word. Les attaquants en profitent pour mener des attaques ciblées, voler des informations confidentielles et diffuser des logiciels malveillants.

Pour la sécurité des utilisateurs, à partir de MS Office 2016, les développeurs ont limité l'ensemble des formats avec lesquels la technologie OLE peut fonctionner. De plus, la fonctionnalité Attack Surface Reduction (ASR) bloque le lancement de processus enfants à l'aide de scripts intégrés au document.

«J'ai passé de nombreuses heures à chercher de nouveaux formats permettant l'exécution de code», raconte l'expert. "Je suis finalement tombé sur *.SettingContent-ms - ces fichiers permettent aux utilisateurs de modifier les paramètres de Windows 10 via des liens sur une page spéciale."

Nelson a découvert qu'il s'agissait en fait de documents XML ordinaires et a trouvé dans leur code une balise chargée d'ouvrir un paramètre spécifique en cliquant sur le raccourci correspondant. Il s'est avéré que vous pouvez y enregistrer n'importe quel fichier exécutable et le système le lancera sans aucun avertissement. De plus, Nelson a pu construire une chaîne de commandes de cette manière - cela signifie que l'attaquant peut masquer une activité malveillante en ouvrant la page que la victime de l'attaque s'attend à voir.

Pour transmettre un script dangereux à une machine, il suffit d’attirer l’utilisateur vers une page Web compromise. Selon l'expert, les systèmes de sécurité Windows standard lui ont permis de télécharger et d'exécuter le fichier sans y voir aucune propriété suspecte.

De plus, comme le format .SettingContent-ms ne figure pas sur la liste noire des extensions potentiellement malveillantes, l'OS lui permet de lancer des processus enfants. En conséquence, même les ordinateurs dotés de paramètres de sécurité maximum sont menacés, explique l'expert.

Nelson a signalé la vulnérabilité à Microsoft en février. En juin, les experts du Microsoft Security Response Center ont reconnu que la faille n'était pas suffisamment grave pour justifier un examen séparé et ont clos le problème.

Selon les experts, les prochaines mises à jour de sécurité de Windows pourraient empêcher l'exécution des fichiers .SettingContent-ms via OLE.