Deux vulnérabilités de type "jour-zéro" (0day) découvertes sur Windows

Deux vulnérabilités "jour-zéro" concernant Windows ont été rendues publiques sur Twitter fin décembre par une chercheuse en sécurité portant le pseudonyme de SandBoxEscaper. L'exploitation de l'une de ces vulnérabilités permettrait à un attaquant pouvant exécuter du code de lire n'importe quel fichier local, tandis que l'autre permettrait notamment de réaliser un déni de service.

L'impact estimé sur la confidentialité, l'intégrité et la disponibilité des données est élevé.

Cela fait maintenant plusieurs mois que cette chercheuse révèle publiquement sur son compte Twitter des failles sur Windows, quatre au total depuis fin août. À chaque fois Microsoft n'en avait pas été informé à l'avance, de ce fait aucune CVE n'a été attribuée aux vulnérabilités lors de leur publication. La chercheuse maintient également un blog qui recense l'ensemble de ses découvertes ainsi que des liens vers des preuves de concepts. Au moment de la publication de ce bulletin, les articles ayant été publiés avant le 1er janvier 2019 ont tous été effacés tandis que les comptes Twitter et Github de la chercheuse ont été suspendus. Il est néanmoins possible d'accéder aux anciens articles via des systèmes de sauvegarde publics comme Web Archive.

Microsoft avait publié des correctifs pour les 2 précédentes failles révélées par SandBoxEscaper lors des patchs tuesday de septembre et de novembre. On peut donc s'attendre à ce que l'éditeur publie un correctif lors des patchs tuesday de janvier ou février. Microsoft n'a pas encore communiqué à ce sujet.

Détails techniques 

CVE-2019-0636 [CVSS v3 5.5] : La première vulnérabilité permettrait donc à un attaquant de lire le contenu de n'importe quel fichier dont il connaît le chemin d'accès, sans avoir le moindre droit de lecture. La vulnérabilité porte sur une fonction nommée MsiAdvertiseProduct permettant normalement d'annoncer un produit au système. Cette fonction peut être manipulée pour effectuer une copie d'un fichier arbitraire. Un contrôle d'accès est normalement prévu lors de la copie, mais il est possible de déclencher une situation de compétition (race condition) pour le contourner. La copie du fichier est alors consultable par n'importe quel utilisateur.

La seconde vulnérabilité permettrait à un attaquant de remplacer de manière arbitraire le contenu d'un fichier sur un système cible. Dans sa démonstration de faisabilité, la chercheuse réécrit le contenu du fichier pci.sys nécessaire au démarrage de Windows. Lors du prochain redémarrage, le contenu du fichier génère une erreur qui empêche le système d'exploitation d'être chargé. L'ordinateur est donc inutilisable. Cette faille est due au service de rapport d'incident Windows Error Reporting qui sous certaines conditions peut écrire ses données par-dessus celles d'un autre fichier. Comme pour la première, cette vulnérabilité est déclenchée à partir d'une situation de compétition (race condition) entre deux processus. Des chercheurs en sécurité ayant reproduit l'attaque ont indiqué que le bug pouvait demander plusieurs tentatives avant d'être mis en œuvre.