Windows : faille 0-day qui passe outre l'UAC

Microsoft a été mis au courant de cette nouvelle trouvaille, mais n'a pas publié d'avis de sécurité pour le moment. L'enquête est en cours afin d'évaluer une preuve de concept publique notamment apparue sur un forum chinois et repérée par Prevx, une société de sécurité informatique rachetée par Webroot en début de mois.

Sur son blog, Prevx explique qu'une " grave faille " affecte win32k.sys, un pilote de périphérique en mode noyau qui correspond au noyau du sous-système Windows. Cette faille est de type élévation de privilège et permet à des comptes aux droits limités d'exécuter du code arbitraire en mode noyau.

Selon Prevx, Windows XP, Vista et 7 ( 32 et 64-bit ) sont vulnérables à une attaque. L'exploit peut passer outre la protection UAC ( User Account Control ) présente dans Windows Vista et Windows 7. Cette technologie de contrôle du compte utilisateur a justement été implémentée dans Windows Vista et 7 afin de prévenir une élévation incontrôlée des droits utilisateurs.

En dépit de sa publication sur un forum chinois, la faille basée sur une API ( NtGdiEnableEUDC ) n'a pas été utilisée dans le cadre d'une attaque. Mais Prevx se montre plutôt inquiétant : " cela pourrait devenir un cauchemar compte tenu de la nature de la faille. L'exploit devrait être activement utilisé par un malware très rapidement ".

Point qui a tout de même une grande importance, il s'agit d'un exploit d'élévation de privilège, ce qui signifie que le possible malware doit déjà être présent sur l'ordinateur pris pour cible afin d'exploiter la faille. La faille ne peut pas être exploitée à distance.

Source => [Vous devez être inscrit et connecté pour voir ce lien]