L’équipe Project Zero de Google a publié des détails publics sur la vulnérabilité incorrectement corrigée dans l’API Windows Print Spooler, dont les attaquants peuvent profiter pour exécuter du code aléatoire.
Les détails de la faille corrigée par erreur ont été révélés publiquement après que Microsoft ne l’ait pas corrigée dans les 90 jours suivant la divulgation responsable le 24 septembre.
Le bogue a été initialement suivi comme CVE-2020-0986, et la faille concerne l’augmentation du niveau des privilèges d’exploitation dans l’API pour la fonction de spouleur d’impression dans le système d’exploitation Windows qui a été signalée à Microsoft fin décembre 2019 par un utilisateur anonyme travaillant avec l’initiative Zero Day de Trend Micro.
En l’absence de correctif pendant environ six mois, l’initiative Zero Day de Trend Micro a émis plus tôt cette année des conseils publics de bogue.
Le bogue a ensuite été exploité dans une campagne appelée Operation PowerFall contre une société sud-coréenne anonyme.
L’exploitation réussie de cette vulnérabilité permet à l’attaquant de falsifier la mémoire du processus splwow64.exe afin d’exécuter du code aléatoire en mode noyau, d’installer des logiciels malveillants, d’afficher, de modifier ou de supprimer des données, ou de créer de nouveaux comptes avec tous les droits d’utilisateur.
Microsoft a corrigé cette erreur via une mise à jour publiée en juin, mais de nouvelles découvertes de l’équipe de sécurité de Google révèlent que la faille n’a pas été entièrement corrigée.
« La vulnérabilité existe toujours, mais la méthode d’exploitation a changé », a déclaré (Maddie Stone), chercheuse de l’équipe Project Zero, dans un rapport.
Microsoft devrait résoudre le nouveau problème, baptisé CVE-2020-17008, le 12 janvier 2021.
« Il y a eu un très grand nombre d’incidents cette année en raison des failles de sécurité qui sont connues pour être activement exploitées après avoir été corrigées de manière incorrecte ou incomplète », a déclaré Stone.
Elle a ajouté: Lorsque ces vulnérabilités ne sont pas complètement corrigées, les attaquants peuvent facilement réutiliser leurs connaissances sur les vulnérabilités et les méthodes pour les exploiter pour développer de nouvelles vulnérabilités.