Le nombre exact de vulnérabilités “zero-day” affectant Microsoft Windows et vendues au marché noir est difficile à estimer. Actuellement, des pirates informatiques russes vendent un redoutable exploit 0-Day compatible avec toutes les versions de Windows pour 90 000 dollars.
Ce sont les chercheurs en sécurité de l’équipe de SpiderLabs Trustwave qui ont découvert l’exploit zero-day sur le forum cybercriminel russe exploit.in, ce dernier affectant toutes les versions de Microsoft Windows (de Windows 2000 jusqu’à une version entièrement à jour de Windows 10). La vulnérabilité de ce 0-Day est encore inconnue et est vendue 90 000 dollars actuellement.
La vulnérabilité “zero-day” en question serait de type Local Privilege Escalation (LPE), ce qui nécessite un accès administrateur pour exécuter du code malveillant sur l’ordinateur de la victime et de ce fait, est moins dangereux que exploitations à distance d’exécution de code qui permettent des attaquants de compromettre les systèmes très simplement. De ce fait, les chercheurs de TrustWave ont expliqué que l’exploit en lui-même ne sera pas en mesure de compromettre un système à lui seul, mais qu’il serait néanmoins utilisé dans différents scénarios comme “un morceau nécessaire de puzzle dans le processus global d’infection“.
Le vendeur de l’exploit, connu sous le pseudo “BuggiCorp” affirme le défaut est situé dans le pilote win32k.sys du noyau Windows, et existe grâce à la façon dont Windows traite les objets avec certaines propriétés :
“The exploit successfully escapes from ILL/appcontainer (LOW), bypassing (more precisely: doesn’t get affected at all by) all existing protection mechanisms such as ASLR, DEP, SMEP, etc. The zero-day exploit relies solely on the KERNEL32 and USER32 libraries [DLLs].“
L’exploit zero-day en question est aussi capable d’injecter un rootkit sur la machine cible, de s’installer sur un système de point de vente commercial et de voler des données de cartes de crédit, d’être contrôlé via un serveur Web et d’installer d’autres logiciels malveillants sur les systèmes visés. L’auteur est allé jusqu’à prouver l’authenticité de ses affirmations en fournissant une vidéo de l’exploit diffusée sur YouTube :
Trustwave a alerté Microsoft de cette découverte, qui a rapidement réagit via un communiqué officiel :
“Windows est une plate-forme s’engageant auprès de la clientèle à enquêter sur les problèmes de sécurité signalés, et de manière proactive, mettre à jour les dispositifs impactés le plus tôt possible. Nous recommandons à nos clients d’utiliser Windows 10 et le navigateur Microsoft Edge, qui sont la meilleure protection actuelle. Notre politique standard est de fournir des solutions via notre système de mise à jour chaque premier mardi du mois.“