Elévation de privilèges possible sous Windows Vista et Seven

0

Un exploit pour contourner le système UAC de Windows Vista et Windows Seven a été publié hier sur codeproject (UAC Bypass). Or l’article a été supprimé du site peu de temps après… Aurait-il gêné ? Probablement.

Fort heureusement, une capture d’écran à pu être prise avant la probable censure :

L'exploit ce nomme : "Elevation of privileges under Windows Vista 7 UAC Bypass".
Cette faille de sécurité affecte plus précisément l’API RtlQueryRegistryValues, utilisée pour demander plusieurs valeurs de registre par une table de requêtes, avec le champ EntryContext comme tampon de sortie. Pour parvenir à exploiter cette faille, l’attaquant doit créer une clé de registre malformée, ou être en mesure de manipuler une clé de registre disponible simplement avec des droits utilisateur. En raison de la nature de la faille, nous ne fournirons pas plus d’informations à ce sujet.
Disons simplement qu’une preuve de concept fonctionnant a été disponible pendant quelques heures sur un site de programmation très connu. La démonstration comprenait un tutoriel pas à pas ainsi que le code binaire et source nécessaire pour vaincre l’UAC.
L’appel d’EnableEUDC provoque le bug

Puisque le bug de win32k.sys n’est, pour le moment, pas encore corrigé et que le code a été publié, nous nous attendons à ce qu’il soit utilisé dans des malwares d’ici peu. Nous avons conscience de ce risque et travaillons sur une méthode de détection générique afin d’empêcher que le code malveillant n’atteigne le noyau.

En attendant, ne téléchargez pas de fichiers provenant de sites non fiables. Et, si ce n’est pas encore fait, envisagez la possibilité d’installer et de mettre à jour une solution antivirus.

Note : un PoC (Proof of Concept) est disponible sur le Net actuellement.

Vidéo disponible avec le PoC :

 

EDIT : Une nouvelle vidéo est disponible :

 

[youtube R1BHkQYDsx0 nolink]


LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.