Alors que le Patch Tuesday de novembre avait corrigé plusieurs failles zero day, voilà qu’une autre apparaît. Elle a été trouvée par le chercheur en sécurité Abdelhamid Naceri. L’exploit publié accorde une élévation de privilège en local pour accéder au niveau administrateur. Cette vulnérabilité touche Windows 10, 11 et Server. Potentiellement des millions de PC sont donc exposés à cette brèche. En gagnant le privilège administrateur sur un PC compromis, les cyberattaquants peuvent ainsi se propager latéralement dans le réseau.
Ironie de l’histoire, lors du Patch Tuesday de novembre 2021, Microsoft a corrigé une faille de type « Windows Installer Elevation of Privilege Vulnerability », identifiée sous le nom CVE-2021-41379. Elle a été découverte par le même chercheur, qui a trouvé un contournement au correctif avec la clé une nouvelle faille zero day plus puissante.
Un PoC en forme de revendication
Abdelhamid Naceri a publié sur GitHub un PoC de cette brèche en expliquant qu’elle fonctionne sur toutes les versions de Windows supportées. « Cette variante a été découverte lors de l’analyse du correctif CVE-2021-41379. Le bug n’a pas été corrigé correctement », souligne le chercheur. Il précise aussi que sa faille contourne aussi la configuration des politiques de groupe pour empêcher les utilisateurs « standard » de réaliser des opérations d’installation MSI.
Interrogé par nos confrères de Bleepingcomputer sur la raison de la divulgation d’une telle faille, le chercheur a mis en cause la réduction des primes dans les programmes de bug bounty de Microsoft. Ce dernier est aussi accusé par d’autres chercheurs de déclasser certains exploits et donc de réduire le montant des primes.
Commentaire