Google identifie une zero-Day dont l'exploitation permet l'exécution de code arbitraire sur les systèmes Windows 10

Vue d'ensemble :

Une vulnérabilité Windows 10 dont l'exploitation permet de contourner la politique de verrouillage de Windows et d'exécuter du code arbitraire reste non corrigée 90 jours après que Microsoft ait été informé de son existence.

Le bug n'est cependant pas critique. Cette faille permettrait d'exécuter du code de façon persistante sur une machine cible mais n'est pas exploitable à distance et ne permet pas d'escalade de privilèges.

Détails techniques :

Une faille .NET peut être exploitée pour contourner le contrôle Windows Lockdown Policy lors de l'instanciation d'un objet Component Object Model (COM). Cette faille est conditionnée par l'activation d'UMCI (User Mode Code Integrity) sur les systèmes cibles.

L'exploitation de cette faille permettrait à un attaquant d'ajouter des clés de registre (y compris des clés HKEY_CURRENT_USER) qui chargeraient une classe COM arbitraire sous l'un des identifiants de classe (CLSID) autorisés. A ce stade, .NET ne vérifie plus si les types .NET ont un identifiant spécifique ou non, ce qui rend l'exécution de code arbitraire possible.

Informations
+

Impact

  • Contournement de politique de sécurité;

  • Exécution de code arbitraire.

Criticité

  • CVSS v3 : En cours d'analyse

Existence d’un code d’exploitation de la vulnérabilité

  • Une preuve de concept est disponible sur la déclaration de la faille.

Composants & versions vulnérables

  • Windows 10 avec la fonctionnalité UMCI (User Mode Code Integrity) active.

CVE

  • Aucune référence n'est attribuée à cette vulnérabilité.

Recommandations
+

Correctifs

  • La vulnérabilité est classée comme Zero-Day. Aucun correctif n'est disponible.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.