Le 27 août 2018, un utilisateur a publié sur Twitter l’existence d’une vulnérabilité de type élévation de privilèges ainsi qu’un lien vers un dépôt GitHub contenant le code d’attaque exploitant cette vulnérabilité. Ce code est stable et facilement adaptable.

Si la preuve de concept ne fonctionne en l’état que sur les versions 64 bits de Windows, la vulnérabilité est présente dans toutes les versions de Windows (de Windows 7 à Windows 10, Windows Server 2008 R2 à Windows Server 2016).

Cette vulnérabilité provient du planificateur de tâches, plus précisément de l’interface RPC ITaskSchedulerService.

Parmi les fonctions exportées par cette interface RPC, la fonction SchRpcSetSecurity permet de fixer arbitrairement un descripteur de sécurité (Discretionary access control lists ou DACLs) pour un fichier contenu dans le répertoire C:\Windows\Tasks.

Comme tout le monde peut écrire dans le répertoire C:\Windows\Tasks, il est possible de créer un lien non brisable (hard link) vers n’importe quel autre fichier sur lequel on possède les droits en lecture. Lorsque la fonction SchRpcSetSecurity est appelée, la DACL du fichier pointé par le lien est remplacée par celle spécifiée lors de l’appel à la fonction SchRpcSetSecurity. Cette action est réalisée avec le niveau de privilège System.

Cette vulnérabilité ne s’exploite que localement, elle peut toutefois être combinée avec une vulnérabilité d’exécution de code à distance.

Le CERT-FR rappelle ici l’importance d’installer les correctifs de sécurité dans les plus bref délais lorsque ceux-ci sont disponibles.

Jusqu’à ce que cette vulnérabilité soit corrigée, on peut considérer que si un attaquant arrive à exécuter du code sur une machine, il sera en mesure d’obtenir une compromission totale à moindre coût.

• https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-009/

Views: 0