Divulguée mercredi - jour où le code d'attaque a été rendu public - la faille permet de contourner le contrôle de compte utilisateur (User Account Control - UAC) dans Windows Vista et Windows 7. L'UAC, fréquemment mis en avant depuis la sortie de Vista en 2007, a été conçu pour rendre impossible ou du moins plus difficile l'installation sournoise de logiciels malveillants: il prévient les utilisateurs avant d'installer un logiciel sur la machine. « Microsoft a pris en compte la divulgation publique de détails concernant une vulnérabilité résidant dans le noyau de Windows, » a déclaré Jerry Bryant, responsable au sein du Microsoft Security Response Center. « Notre enquête se poursuit. Dès qu'elle sera terminée, nous envisagerons des mesures appropriées à entreprendre pour résoudre ce problème », a-t-il ajouté.
Ainsi que l'a expliqué dans un blog Chet Wisniewski, un chercheur travaillant pour Sophos, « le bug se situe dans le fichier « win32k.sys », lui-même composant du noyau, que l'on trouve dans toutes les versions de Windows, y compris XP, Vista, Windows Server 2003, Windows 7 et Windows Server 2008. » Plusieurs sociétés de sécurité, dont Sophos et Vupen, ont confirmé la vulnérabilité et ont indiqué que le code d'attaque rendu public fonctionnait sur des systèmes exécutant Vista, Windows 7 et Server 2008. Cependant, elles s'entendent aussi pour dire que les pirates ne peuvent utiliser l'exploit pour infecter un PC à distance, parce que cette action nécessite un accès local. Ce que Microsoft a également souligné de son côté. « Parce que le processus suppose d'outrepasser des privilèges utilisateur en local, il faut que les pirates puisse déjà exécuter du code sur une machine ciblée,» a déclaré Jerry Bryant. « En soi, ce bug ne permet pas l'exécution de code à distance, mais permet néanmoins à des comptes non-administrateurs d'exécuter du code comme s'il s'agissait de l'administrateur,» a ajouté Chet Wisniewski.
De nombreux utilisateurs de Windows XP, en particulier dans le grand public et les petites entreprises, font tourner le système d'exploitation via des comptes administrateur. Microsoft avait ajouté l'UAC à Vista, et au système d'exploitation qui a suivi, pour limiter les privilèges des utilisateurs, et par conséquent l'accès de logiciels malveillants au PC. Pour aboutir, il faudrait que les pirates réussissent à combiner l'exploit avec d'autres codes malveillants capables de tirer profit d'une vulnérabilité de la machine pour détourner un PC et contourner l'UAC. Cela ne concerne pas uniquement les machines tournant sous Windows, et peut se produire via n'importe quelle application couramment répandue, comme Adobe Reader, par exemple. «Ce type d'exploit permettrait à un logiciel malveillant déjà lancé contre le système de contourner l'UAC et de prendre le contrôle complet du système,» a déclaré Marco Giuliani, chercheur auprès de la société en sécurité informatique Prevx, laquelle avait signalé l'existence de cette vulnérabilité à Microsoft en début de semaine dernière. « Cette situation pourrait devenir cauchemardesque et nous nous attendons à ce que cet exploit soit activement utilisé prochainement, » a estimé Marco Giuliani. « C'est une occasion que les auteurs de malware ne vont sûrement pas laisser passer ! » a t-il ajouté.
L'efficacité de l'UAC avait déjà été mise en cause auparavant. Ainsi, l'an dernier, Microsoft avait modifié l'UAC de Windows 7, après que quelques blogueurs aient signalé qu'il pouvait être facilement désactivé par des attaquants. Jerry Bryant de Microsoft n'a pas précisé à quelle date Microsoft livrerait son correctif pour le bug en question. Mais selon le calendrier des mises à jours de Microsoft, la prochaine salve de patch est prévue pour le mardi 14 décembre.
Bug de l'UAC du noyau de Windows : un cauchemar potentiel
Microsoft enquête sur une vulnérabilité non corrigée dans le noyau de Windows qui pourrait être utilisée par des pirates pour contourner un élément de sécurité important du système d'exploitation. Une entreprise de sécurité a même qualifié le bug de «cauchemar» potentiel. Mais Microsoft a minimisé la menace en rappelant que les pirates avaient besoin d'une seconde faille pour lancer des attaques à distance.