Deux codes d'exploitation publiés pour des vulnérabilités de type "jour-zéro" sur Windows

Deux chercheurs en sécurité indépendants ont découvert deux vulnérabilités de type "jour-zéro" sur Windows et Exchange. La vulnérabilité portant sur Windows permettrait à un attaquant de réaliser de l’exécution de code arbitraire à distance, mais nécessite l’interaction avec un utilisateur. La seconde permettrait à un utilisateur standard d’Exchange de devenir administrateur du domaine et demeure exploitable dans les configurations par défaut. Microsoft n’a à ce jour toujours pas publié de correctifs pour ces deux vulnérabilités.

La faille la plus critique est celle découverte sur Exchange. Elle n’est pas à proprement parler une nouvelle vulnérabilité mais plutôt la combinaison de vulnérabilités de faiblesses de protocoles déjà connus. Le chercheur indique qu’il a ainsi exploité trois éléments pour conduire son attaque :

1. Les privilèges élevés accordés aux serveurs Exchange par défaut  ;
2. La faiblesse du processus d’authentification aux attaques par relais ;
3. Une fonctionnalité d’Exchange permettant au serveur de s’authentifier à un utilisateur.

Il indique par ailleurs qu’il serait possible de conduire cette attaque sans identifiants Exchange, en relayant l’authentification d’un utilisateur par l’intermédiaire des services Web d’Exchange.

La seconde vulnérabilité exploite une faille dans le traitement des fichiers de contacts par Windows. Le format CONTACT est supporté sur Windows depuis Vista et permet de définir des informations de contact. En créant un fichier contact malveillant qu’il réussirait à faire ouvrir par un utilisateur, un attaquant pourrait alors exécuter du code arbitraire dans le contexte de cet utilisateur. La découverte de cette vulnérabilité fait suite à la publication d’une vulnérabilité similaire sur les fichiers de contacts au format vCard.

Ces deux failles ont été rendues publiques hors du processus habituel de Microsoft, l’éditeur n’a pas encore communiqué au sujet de la vulnérabilité sur Exchange. En revanche, la faille sur les fichiers de contacts a été rapportée dans le cadre de Zero Day Initiative. Microsoft a indiqué qu’elle ne serait pas corrigée par un des correctifs mensuels, mais pour la sortie de la prochaine version de Windows.

Détails techniques

CVE-2018-8581 [CVSS v3 : 7.4] Les trois éléments exploités lors de l’attaque d’Exchange sont les suivants :

• Le groupe de permissions Exchange dispose de hauts privilèges sur le domaine Active Directory. N’importe quel membre de ce groupe est capable de modifier les privilèges du domaine, comprenant notamment les droits d’effectuer des opérations DCSync, qui permettent de synchroniser l’ensemble des condensats (hash) des mots de passe du domaine. À partir de ces condensats, il est possible de réaliser une attaque par Golden Ticket, donnant accès à l’intégralité du domaine ou pour réaliser une attaque Pass-The-Hash, permettant une authentification auprès du serveur à l'aide du seul condensat du mot de passe ;
• Une faille dans le processus d’authentification NTLM qui permet de relayer des identifiants, selon un processus en trois étapes. Une fois ces trois étapes passées, le serveur répond en indiquant si l’authentification est réussie. La faille peut être ainsi exploitée en faisant en sorte que le client se connecte à l’attaquant, ce dernier pouvant alors relayer les différents messages du protocole au serveur à la place du client. Une fois le processus terminé, l’attaquant envoie un message d’erreur au client pour interrompre la connexion et utilise sa session pour communiquer avec le serveur.
  • Le client envoie tout d’abord une requête d’authentification au serveur ;
  • Le serveur répond ensuite par une authentification de type "challenge" (authentification défi-réponse) ;
  • Enfin, le client renvoie une réponse à ce "challenge" et inclut l’identifiant et le domaine auquel il souhaite s’authentifier.
• Afin de pouvoir exploiter la faille précédente, il faut faire en sorte que le serveur Exchange vienne s’authentifier auprès de l’attaquant. Cela peut être réalisé par l’intermédiaire de la fonctionnalité Push Subscription qui permet de fournir un hyperlien auquel le serveur va ensuite envoyer des notifications. Or, lors de la connexion au serveur, celui-ci va envoyer des condensats NTLM via le protocole HTTP. Si l’attaquant contrôle ce serveur, il peut récupérer ces informations pour ensuite mener l’attaque décrite ci-dessus.