Vulnérabilité Zero Day découverte par erreur dans Windows 7

Vulnérabilité Zero Day découverte par erreur dans Windows 7

Un chercheur français en sécurité a accidentellement découvert une vulnérabilité zero-day ou Zero Day. Cela affecte les systèmes d’exploitation Windows 7 et Windows Server 2008 R2. Pendant ce temps, une mise à jour d’un outil de sécurité Windows est en cours d’élaboration.

Une vulnérabilité Zero Day dans Windows 7 doit être corrigée

La vulnérabilité réside dans deux clés de registre mal configurées pour les services Mappeur de point de terminaison RPC Oui DNSCache qui font partie de toutes les installations Windows.

  • HKLM, SYSTEM, CurrentControlSet, Services, RpcEptMapper
  • HKLM-SYSTEM-CurrentControlSet-Services-Dnscache

L’enquêteur de sécurité français Clément Labro, est celui qui a découvert la vulnérabilité dans Windows 7. Il dit qu’un attaquant qui a un pied dans les systèmes vulnérables peut modifier ces clés de registre pour activer une sous-clé. Généralement utilisé par le mécanisme de surveillance des performances de Windows.

Les sous-clés « Performance » ils sont souvent utilisés pour surveiller les performances d’une application. Et en raison de leur rôle, ils permettent également aux développeurs de charger leurs propres fichiers DLL. Dans le but de suivre les performances à l’aide d’outils personnalisés.

Dans les versions récentes de Windows, ces DLL sont souvent restreintes et chargées avec des privilèges limités. Labro a déclaré que dans Windows 7 et Windows Server 2008, il était toujours possible de charger des DLL personnalisées. Ceux-ci ont été exécutés avec des privilèges de niveau système.

Un problème découvert et divulgué accidentellement

Labro a déclaré avoir découvert la vulnérabilité de Windows 7 en publiant une mise à jour pour PrivescCheck. Un outil pour vérifier les erreurs de configuration de sécurité Windows courantes qui peuvent être utilisées abusivement par des logiciels malveillants d’escalade de privilèges.

La mise à jour, publiée le mois dernier, a ajouté la prise en charge d’un nouvel ensemble de vérifications des techniques d’escalade de privilèges.

Labro a dit qu’il ne savait pas que les nouveaux billets mettaient en évidence une nouvelle méthode d’escalade de privilèges non corrigée jusqu’à ce qu’il commence à enquêter sur une série d’alertes qui apparaissent sur des systèmes plus anciens comme Windows 7, quelques jours après le lancement.

À ce moment-là, il était trop tard pour l’enquêteur de signaler le problème à Microsoft en privé, et l’enquêteur choisissez votre blog à propos de la nouvelle méthode.

Tellement de Windows 7 comme Windows Server 2008 R2 Ils ont officiellement atteint la fin de leur vie utile (EOL) et Microsoft a cessé de fournir des mises à jour de sécurité gratuites. Certaines mises à jour de sécurité sont disponibles pour les utilisateurs de Windows 7 via le programme de support payant ESU (Extended Support Updates) de l’entreprise, mais Un correctif pour ce problème n’a pas encore été publié.

On ne sait pas si Microsoft corrigera le nouveau Zéro jour de Labro; cependant, ACROS Security a déjà créé un micro-patch, que la société a publié aujourd’hui. Le micro-patch est installé via un logiciel de sécurité 0patch de la société et empêche les acteurs malveillants d’exploiter le bogue via le correctif non officiel ACROS.