ESET découvre un nouvel exploit zero-day pour Windows utilisé dans une attaque extrêmement ciblée

0

La-Femme (zero-day pour Windows) – Les chercheurs d’ESET ont récemment découvert un exploit Windows de type zero-day utilisé dans le cadre d’une attaque très ciblée en Europe de l’Est. Cet exploit reposait sur une vulnérabilité inédite d’escalade des privilèges locaux sur Windows.

ESET a immédiatement signalé le problème aux équipes du centre de réponse aux incidents de Microsoft (MSRC), ce qui a permis à l’éditeur de corriger la vulnérabilité et de publier un correctif.

L’exploit ne fonctionnera cependant que sur certaines versions plus anciennes de Windows. À partir de Windows 8, en effet, un processus utilisateur n’est plus autorisé à mapper la page NULL, ce qui est un prérequis nécessaire à la réussite de cette attaque.

La vulnérabilité exploitée se trouve dans win32k.sys et, comme d’autres de la même famille, utilise le menu contextuel pour son déploiement. « Par exemple, l’exploit d’escalade des privilèges locaux du groupe Sednit que nous avons analysé en 2017 utilisait déjà des objets de menu et des techniques d’exploitation très similaires à celle-ci », explique Anton Cherepanov, le chercheur ESET à l’origine de la découverte.

La vulnérabilité (référencée en tant que CVE-2019-1132) affecte :

– Windows 7 — Service Pack 1 sur les systèmes 32 bits ;

– Windows 7 — Service Pack 1 sur les systèmes x64 ;

– Windows Server 2008 – Service Pack 2 sur les systèmes 32 bits ;

– Windows Server 2008 – Service Pack 2 sur les systèmes Itanium ;

– Windows Server 2008 – Service Pack 2 sur les systèmes x64 ;

– Windows Server 2008 – Service Pack 1 sur les systèmes Itanium ;

– Windows Server 2008 R2 sur les systèmes x64.

A noter que Windows XP et Windows Server 2003 sont également vulnérables, mais ces versions ne sont plus supportées par Microsoft.

«Les utilisateurs qui utilisent encore le Service Pack 1 de Windows 7 devraient envisager une mise à jour vers de nouveaux systèmes d’exploitation, car le support étendu du Service Pack 1 de Windows 7 prendra fin le 14 janvier 2020. Ce qui signifie que les utilisateurs de Windows 7 ne recevront alors plus les mises à jour de sécurité critiques» met en garde Anton Cherepanov.

Pour plus de détails techniques sur cette vulnérabilité zero-day, consultez notre billet « L’exploit jour zéro CVE 2019 1132 utilisé pour des attaques ciblées« , sur notre blog WeLiveSecurity.com.

À propos d’ESET

Fondée en 1992, ESET 1er éditeur européen en solutions de cybersécurité est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd’hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 800 millions de postes dans le monde.