Failles zero-day : Microsoft paye les pots cassés de son bug bounty



Failles zero-day : Microsoft paye les pots cassés de son bug bounty

La faille CVE-2021-41379 prend des airs de PrintNightmare pour Microsoft.



Un chercheur en sécurité, découragé par les faibles rémunérations promises par le programme de bug bounty de Microsoft, a publié sur GitHub les détails d’une faille de sécurité zero-day permettant une élévation de privilèges sur les appareils Windows 10 et Windows 11.




Cette vulnérabilité a été initialement découverte par le chercheur en sécurité Abdelhamid Naceri. Elle permet une élévation de privilèges sur un appareil fonctionnant sur Windows 10 ou Windows 11.


Un correctif insuffisant :


La faille avait pourtant été corrigée par Microsoft dans le Patch Tuesday du mois de novembre. Mais le chercheur a découvert que ce correctif n’était pas suffisant.

En travaillant sur le correctif publié par Microsoft, il est parvenu à trouver un moyen de contourner la protection mise en place par ce patch, ainsi qu’une seconde variante du bug.

Il a publié cette variante lundi sur GitHub : baptisée InstallerFileTakeOver, la vulnérabilité permet de réaliser une élévation de privilèges sur des appareils disposant des dernières mises à jour de sécurité diffusées par Microsoft.


Une variante plus puissante :


Comme CVE-2021-41379, InstallerFileTakeOver permet à un attaquant disposant d’un accès à une machine Windows 10, Windows 11 ou Windows Server d’élever ses privilèges en passant d’un compte standard à un niveau de privilège SYSTEM, qui lui donne accès à l’ensemble des fonctionnalités de la machine.



« La preuve de concept écrase le service d’élévation Microsoft Edge DACL, se copie dans l’emplacement du service et l’exécute pour obtenir des privilèges élevés », explique le chercheur.



Il considère également que cette variante est « plus puissante et plus stable » que la faille CVE-2021-41379, et rappelle qu’il a découvert un moyen de contourner les protections implémentées par Microsoft pour cette première faille de sécurité, mais qu’il préfère pour l’instant garder les détails de ce contournement pour lui.



Comme le rapporte Bleeping Computer, Microsoft a de son côté annoncé « avoir connaissance de la vulnérabilité » et promet un futur correctif de ce fichier, mais rappelle qu’un attaquant souhaitant exploiter cette vulnérabilité doit déjà disposer d’un accès et de la capacité à exécuter du code sur la machine ciblée.


« J’ai juste droit à un merci »


Abdelhamid Naceri explique que la divulgation « sauvage » des détails de la vulnérabilité InstallerFileTakeOver a été motivée par la politique de Microsoft en matière de bug bounty. « Avant avril 2020, j’aurais pu espérer une somme entre 8 000 et 20 000 dollars pour une faille de ce type. Aujourd’hui, j’ai juste droit à un merci »,



Le sujet des primes offertes par Microsoft dans le cadre de son bug bounty fait grincer des dents les chercheurs en sécurité depuis plusieurs mois. L’ingénieur qui a découvert la faille PrintNightmare en début d’année a ainsi révélé que Microsoft lui avait offert la somme de 5 000 dollars, somme qui lui avait été accordée après qu’il a publié une vidéo montrant la vulnérabilité en action.



D’autres chercheurs ont également exprimé leurs mécontentements à l’égard de la politique de bug bounty de Microsoft, certains estimant notamment que la firme de Redmond néglige le paiement des failles dans certains de ses produits historiques, comme Windows et ses déclinaisons pour serveur, au profit des primes destinées aux failles affectant son écosystème cloud, Azure.


Pour plus d’information : https://www.zdnet.fr/actualites/faille-0day-microsoft-paye-a-nouveau-les-pots-casses-de-son-bug-bounty-39933011.htm


Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité