Selon des chercheurs de FireEye, des pirates exploitent activement une vulnérabilité non corrigée de Windows XP et Windows Server 2003 via Adobe Reader. Celle-ci leur permet d'exécuter du code avec des privilèges plus élevés que ceux auxquels ils peuvent normalement prétendre. La vulnérabilité se trouve dans NDProxy.sys, « un pilote fourni par le système qui sert d'interface aux pilotes miniport WAN, aux gestionnaires d'appels, et aux gestionnaires miniport d'appel pour les services Tapi (Telephony Application Programming Interface), un standard défini par Microsoft, qui assure la compatibilité entre les applications et les périphériques de télécommunication. « Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode kernel », a déclaré Microsoft dans un bulletin de sécurité publié mercredi. « Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de droits administratifs complets ».
Il s'agit d'une vulnérabilité par élévation-de-privilège (EoP), et non pour l'exécution de code à distance, ce qui signifie que les attaquants doivent d'abord accéder au système cible en utilisant un compte avec des privilèges réduits avant de pouvoir exploiter la faille. Selon Microsoft, cette vulnérabilité est déjà exploitée, « dans des attaques limitées et ciblées », et n'affecte pas les versions Windows au-delà de Windows XP et Windows Server 2003. L'éditeur a livré une solution de contournement temporaire qui implique la désactivation de NDProxy.sys. Mais certains services qui dépendent de TAPI, comme le service d'accès distant Remote Access Service (RAS), l'accès réseau par commutation et le réseau privé virtuel (VPN) peuvent ne plus fonctionner.
Microsoft a crédité le fournisseur de sécurité FireEye qui l'a aidé à enquêter sur cette vulnérabilité référencée CVE- 2013-5065. Cette faille EoP est exploitée en association avec une vulnérabilité présente dans d'anciennes versions d'Adobe Reader, corrigée au mois de mai dernier. « Ces attaques coordonnées permettent d'exécuter du code à distance », ont déclaré dans un blog les chercheurs en sécurité de FireEye, Xiaobo Chen et Dan Caselden. « L'exploit cible les ordinateurs exécutant Adobe Reader sous Windows XP Service Pack 3, mais les utilisateurs qui ont les dernières versions d'Adobe Reader devraient être protégés », ont-ils précisé. Selon les chercheurs, en cas de succès, l'exploit permet d'introduire un fichier exécutable dans le répertoire temporaire de Windows et de l'activer.