Une faille 0-day dans Windows, Microsoft sur la brèche

Une faille 0-day dans Windows, Microsoft sur la brèche

Par Sébastien Gavois

Le 30 Août 2018 à 09h45
Logiciel
2 min 7

Une faille 0-day dans Windows, Microsoft sur la brèche

On ne sait pas encore par qui, mais une faille 0-day a été découverte dans Windows, dans la manière dont le système gère Advanced Local Procedure Call (ALPC).

Bénéficiant déjà d’un proof-of-concept sous forme d’un fichier rar sur GitHub, la vulnérabilité a été examinée par l’un des analystes du CERT/CC américain, Will Dormann. Dans un tweet, il confirme la LPE (local privilege escalation), permettant à un code d’obtenir les privilèges systèmes.

Si un utilisateur parvient à se connecter localement à la machine ou réussit à faire exécuter un programme à sa victime, la faille peut être exploitée. Elle ne peut a priori pas l'être à distance de manière automatisée et n’est donc, pour l’instant, pas considérée comme critique.

Selon le CERT, il n’y a actuellement aucune mesure pratique d’atténuation des risques, hors du contrôle simple de l’accès à la machine et la surveillance des programmes exécutés.

Microsoft, de son côté, a indiqué à The Register que « les appareils concernés seront mis à jour dès que possible ». Le prochain Patch Tuesday est prévu le 11 septembre, mais l’éditeur peut publier un correctif hors du cycle habituel s’il juge la situation urgente.

Commentaires (7)


fry
Le 30/08/2018 à 09h23

il manque quand même une info : la ou les versions de windows touchée(s)

est-ce uniquement windows 10 ? ou 88.1 ou est-ce que ça descend jusqu’à 7 voire vista ?

(j’omets xp, pas la même base technique du tout, et il doit y avoir déjà beaucoup d’autres failles qui ne seront jamais comblées)


Patch Abonné
Le 30/08/2018 à 09h40







fry a écrit :



il manque quand même une info : la ou les versions de windows touchée(s)

est-ce uniquement windows 10 ? ou 88.1 ou est-ce que ça descend jusqu’à 7 voire vista ?

(j’omets xp, pas la même base technique du tout, et il doit y avoir déjà beaucoup d’autres failles qui ne seront jamais comblées)



Suffit de regarder le message du CERT : seul 10 serait touché.



WereWindle
Le 30/08/2018 à 11h23 
Here is the alpc bug as 0day:https://t.co/m1T3wDSvPX I don't fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.   


 — SandboxEscaper (@SandboxEscaper) August 27, 2018




Première réaction : ok… cette personne m’a l’air très équilibrée (j’espère que le “plus rien à foutre de la vie” est une figure de style <img data-src=" /> )

Deuxième réaction : ça sent la personne qui pensait toucher une grosse prime pour la découverte d’une faille et à qui on n’a rien proposé (ou pas grand chose)









Patch a écrit :



Suffit de regarder le message du CERT : seul 10 serait touché.





toutafé, le mec du CERT a ajouté que ça marchait en 32bits moyennant une petite manip et sur Server 2012

Ça demande pas le droit admin¹ pour lancer le planificateur de tâches ? (c’est le cas au boulot mais je ne sais plus si c’est de base ou dû à une GPO)



¹ On va pas s’mentir… tout le monde est admin de son poste perso et beaucoup sont prompt à cliquer sur Autoriser à la moindre fenêtre UAC pour la faire dégager <img data-src=" />



XMalek
Le 30/08/2018 à 11h44

Globalement elle a d’autres problèmes que juste le contact avec MFST, elle en parle après.

Elle pensait avec cette faille trouver directement un boulot dans la sécurité ce qui n’est pas arrivé.



Et oui ce genre de faille va être utilisé par tous les “installe vite ce nouvel anti virus car ton pc est vérollé 36 menaces découvertes sur votre machine !!!”


WereWindle
Le 30/08/2018 à 12h57

ah bah, sans avoir rien cherché sur elle, j’étais pas tombé très loin (HS : c’est un peu moche quand une approche cynique apporte la bonne réponse 8 fois sur 10 <img data-src=" />)





Patch Abonné
Le 30/08/2018 à 18h56







WereWindle a écrit :



Here is the alpc bug as 0day:https://t.co/m1T3wDSvPX I don’t fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit. 



 — SandboxEscaper (@SandboxEscaper) August 27, 2018




Première réaction : ok… cette personne m’a l’air très équilibrée (j’espère que le “plus rien à foutre de la vie” est une figure de style <img data-src=" /> )



C’était sûrement ce genre de réaction, mais à l’écrit <img data-src=" />









Patch a écrit :



Suffit de regarder le message du CERT : seul 10 serait touché.





Hmmmm… C’est pas ce que je lis. Le PoC tel que proposé ne marche effectivement que sur Windows 1064 (et 2016) mais rien ne prouve que les versions antérieures sont immunisées.

&nbsp;



Fermer