[Mise à jour du 12/06/19] Découverte de cinq nouvelles vulnérabilités "jour-zéro" dans les systèmes Windows 10, Server 2016 et 2019

Une chercheuse en informatique surnommée « SandboxEscaper » a publié le 21 mai un code d’exploitation pour une nouvelle vulnérabilité « jour-zéro » (vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu) qu'elle a elle-même découverte. Cette vulnérabilité permettrait à un attaquant local d'élever ses privilèges et de prendre ainsi le contrôle total de la machine.

La démonstration de faisabilité fournie a été testée par un analyste de vulnérabilité du CERT/CC et fonctionne sur toutes les versions de Windows 10, Windows Server 2016 et 2019, incluant les dernières versions disposant du correctif de sécurité du mois de mai. Il n’existe pas de correctif à ce jour, les utilisateurs de Windows devront attendre la prochaine mise à jour de sécurité mensuelle, à moins que Microsoft ne décide de faire une mise à jour de sécurité d’urgence.

Détails techniques :

CVE-2019-1069 : La première vulnérabilité réside dans le planificateur de tâches de Windows. Cet élément permet à un utilisateur de planifier le lancement automatique de programmes ou scripts à un temps prédéfini ou après une certaine période de temps. Une méthode de ce module ne vérifie pas correctement les permissions et peut être ainsi utilisée pour mettre en place arbitrairement une permission de contrôle d'accès discrétionnaire (DAC, « discretionary access control ») sur un objet, par exemple un fichier. Cela pourrait permettre à un attaquant de se « donner » les droits sur des objets auxquels il ne devrait pas avoir accès et ainsi de prendre contrôle du système.

[Mise à jour du 23 mai 2019 : Informations complémentaires et nouvelles vulnérabilités découvertes]

Anomalie Windows "AngryPolarBearBug2" (AngryPolarBearBug2 Windows Bug) : 

CVE-2019-0973 : La seconde vulnérabilité réside dans le service "Windows Error Reporting" qui peut être exploité à l'aide d'une liste de contrôle d'accès discrétionnaire (DACL), un mécanisme qui identifie les utilisateurs et les groupes auxquels sont attribuées ou refusées les permissions d'accès à un objet.
Une fois l'exploitation réussie, un attaquant peut supprimer ou modifier n'importe quel fichier Windows, y compris les fichiers exécutables, ce que seul un utilisateur privilégié peut réaliser.
Surnommée AngryPolarBolarBearBug2 par la chercheuse, cette vulnérabilité s'apparente à une précédente vulnérabilité du service "Windows Error Reporting", appelée AngryPolarBearBug. Cette dernière permettait à un attaquant sans privilège et connecté localement, de remplacer tout fichier sur le système d'exploitation.
Cependant, comme précisé par SandboxEscaper, cette vulnérabilité n'est pas très facile à exploiter.

Contournement du bac à sable Internet Explorer 11 (Internet Explorer 11 Sandbox Bypass)

CVE-2019-1053 : La troisième vulnérabilité affecte le moteur de recherche "Microsoft Internet Explorer 11 (IE11)".

Bien que la note d'exploitation ne contienne aucun détail sur cette vulnérabilité, une démonstration en vidéo publiée par la chercheuse montre que la vulnérabilité est due à une erreur lorsque le navigateur vulnérable gère un fichier DLL malicieusement créé.
Cela permettrait éventuellement à un attaquant de contourner le "bac à sable" (sandbox) en mode protégé d'IE et d'exécuter du code arbitraire.

[Mise à jour du 24 mai 2019 : Une quatrième vulnérabilité "jour-zéro" diffusée "par erreur" sur Github ]

CVE-2019-1064 : Une quatrième vulnérabilité de type "jour-zéro"  est également disponible sur le compte Github de la chercheuse mais celle-ci a précisé sur son blog qu'il s'agissait d'une erreur. En effet la vulnérabilité référence une CVE déjà corrigée par Microsoft dans son patch Tuesday de mai : CVE-2019-0863 [CVSS v3 7.8].

Pour obtenir davantage d'informations concernant la dernière mise à jour de Microsoft, consulter notre bulletin ici.

Le prochain Patch Tuesday de Microsoft, prévu pour le 11 juin, pourrait venir corriger ces vulnérabilités critiques.

[Mise à jour du 11 juin 2019 : Une nouvelle vulnérabilité "jour-zéro" découverte nommée ByeBear]

CVE-2019-0841 [CVSS : 7.8] : La vulnérabilité permettrait une élévation de privilège dû à un mauvais traitement de liens fixes par Windows AppX Deployment Service. Un attaquant pourrait alors exécuter ou supprimer des programmes avec les privilèges de l’utilisateur local.

La démonstration de faisabilité de la chercheuse a été supprimée de la plateforme de partage GitHub. On sait néanmoins que des parties du package d’installation du navigateur Edge ont pu être supprimées. Cela engendrerait une indisponibilité de ce dernier lors de sa prochaine utilisation. Par la suite, le navigateur recrée les fichiers manquants avec les droits SYSTEM. Dans la vidéo de faisabilité, on observe que la chercheuse a été en mesure de supprimer le fichier système « win.ini » malgré des droits utilisateurs limités.

La chercheuse pense que cette exploitation pourrait être applicable à d’autres applications Windows.

La prochaine mise à jour de Microsoft est prévue pour le mardi 11 juin.

Informations
+

Risques

  • Elévation de privilège.

Criticité

  • Score CVSS : 7.80

Existence d’un code d’exploitation de la vulnérabilité

  • Une vidéo de la démonstration de faisabilité de la première vulnérabilité est disponible ici.
  • Une vidéo de la démonstration de faisabilité de la seconde vulnérabilité est disponible ici.

Composants & versions vulnérables

  • Windows 10 x86 (32 bits) avec la dernière mise à jour de May 2019 - la démonstration de faisabilité a été testée sur cette version uniquement
  • Windows 10 x64 (64 bits) Windows Server 2016 et 2019 - Testé par un Will Dormann un chercheur en sécurité

CVE

  • CVE-2019-0841

Recommandations
+

Mise en place de correctif de sécurité

  • Aucun correctif n'est pour le moment disponible.

Solution de contournement

  • Aucune solution de contournement n'a été proposée.