Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Un bug dans le noyau de Windows permet de contourner l’UAC

25 novembre 2010

Une faille d’élévation de privilèges permet à des utilisateurs standard d’exécuter du code arbitraire en mode noyau

Un nouveau bug de type « zero-day » de la plateforme Windows affecte désormais win32k.sys (un composant critique du noyau Windows) et, cette fois-ci, la méthode employée semble constituer un défi important pour le monde de la sécurité informatique. Cette vulnérabilité est provoquée par un débordement de mémoire tampon dans le fichier du noyau, ce qui permet de contourner le Contrôle de Compte Utilisateur dans Windows Vista et Windows 7.
Cette faille de sécurité affecte plus précisément l’API RtlQueryRegistryValues, utilisée pour demander plusieurs valeurs de registre par une table de requêtes, avec le champ EntryContext comme tampon de sortie. Pour parvenir à exploiter cette faille, l’attaquant doit créer une clé de registre malformée, ou être en mesure de manipuler une clé de registre disponible simplement avec des droits utilisateur. En raison de la nature de la faille, nous ne fournirons pas plus d’informations à ce sujet.

Disons simplement qu’une preuve de concept fonctionnant a été disponible pendant quelques heures sur un site de programmation très connu. La démonstration comprenait un tutoriel pas à pas ainsi que le code binaire et source nécessaire pour vaincre l’UAC.

L’appel d’EnableEUDC provoque le bug

Puisque le bug de win32k.sys n’est, pour le moment, pas encore corrigé et que le code a été publié, nous nous attendons à ce qu’il soit utilisé dans des malwares d’ici peu. Nous avons conscience de ce risque et travaillons sur une méthode de détection générique afin d’empêcher que le code malveillant n’atteigne le noyau.

En attendant, ne téléchargez pas de fichiers provenant de sites non fiables. Et, si ce n’est pas encore fait, envisagez la possibilité d’installer et de mettre à jour une solution antivirus.

Source : malwarecity.com