Les chercheurs ont publié un exploit de preuve de concept (PoC) pour une vulnérabilité d’élévation des privilèges locaux Windows activement exploitée corrigée dans le cadre du correctif de mai 2023 mardi.
Le sous-système Win32k (pilote de noyau Win32k.sys) gère le gestionnaire de fenêtres, la sortie d’écran, l’entrée et les graphiques du système d’exploitation, et agit comme une interface entre différents types de matériel d’entrée.
En tant que tel, l’exploitation de ces types de vulnérabilités tend à fournir des privilèges élevés ou l’exécution de code.
La vulnérabilité est identifiée comme CVE-2023-29336 et a été découverte à l’origine par la société de cybersécurité Avast. Il s’est vu attribuer un indice de gravité CVSS v3.1 de 7,8 car il permet aux utilisateurs à faibles privilèges d’obtenir les privilèges Windows SYSTEM, les privilèges les plus élevés en mode utilisateur dans Windows.
Avast dit avoir découvert la vulnérabilité après qu’elle ait été activement exploitée en tant que zero-day dans les attaques. Cependant, la société a refusé de partager plus de détails avec Breachtrace, il est donc difficile de savoir comment elle a été abusée.
Pour sensibiliser à la faille activement exploitée et à la nécessité d’appliquer les mises à jour de sécurité Windows, CISA a également publié une alerte et l’a ajoutée à son catalogue « Known Exploited Vulnerabilities ».
Exactement un mois après la mise à disposition du correctif, les analystes en sécurité de la société de cybersécurité Web3 Numen ont maintenant publié tous les détails techniques sur la faille CVE-2023-29336 et un exploit PoC pour Windows Server 2016.
Redécouvrir la faille
Bien que la vulnérabilité soit activement exploitée, Microsoft affirme qu’elle n’affecte que les anciennes versions de Windows, y compris les anciennes versions de Windows 10, Windows Server et Windows 8, et n’affecte pas Windows 11.
« Bien que cette vulnérabilité semble être non exploitable sur la version du système Win11, elle présente un risque important pour les systèmes antérieurs », explique Numen dans son rapport.
« L’exploitation de ces vulnérabilités a un bilan notoire, et dans cette analyse approfondie, nous nous penchons sur les méthodes employées par les acteurs de la menace pour exploiter cette vulnérabilité spécifique, en tenant compte de l’évolution des mesures d’atténuation. »
En analysant la vulnérabilité sur Windows Server 2016, les chercheurs de Numen ont découvert que Win32k verrouille uniquement l’objet fenêtre mais ne parvient pas à verrouiller l’objet menu imbriqué.
Cette omission, qui, selon les chercheurs, résulte de la copie de code obsolète dans les nouvelles versions de Win32k, laisse les objets de menu vulnérables à la falsification ou aux détournements si les attaquants modifient l’adresse spécifique dans la mémoire système.
Prendre le contrôle de l’objet de menu signifie obtenir le même niveau d’accès que le programme qui l’a lancé, mais même si la première étape ne permet pas aux attaquants d’accéder aux privilèges de niveau administrateur, c’est un tremplin efficace pour y parvenir via les étapes suivantes.
Les chercheurs ont expérimenté diverses méthodes de manipulation de la configuration de la mémoire, des déclencheurs d’exploitation et des fonctions système de lecture/écriture de la mémoire et ont finalement développé un PoC fonctionnel qui produirait une élévation fiable des privilèges SYSTEM.
Plus de détails techniques sur ce processus sont disponibles dans le rapport Numen, et une démonstration du PoC est présentée ci-dessous.
La conclusion générale est que l’exploitation de CVE-2023-29336 n’est pas particulièrement difficile.
« En plus d’explorer avec diligence différentes méthodes pour prendre le contrôle de la première opération d’écriture en utilisant les données réoccupées de la mémoire libérée, il n’y a généralement pas besoin de nouvelles techniques d’exploitation », lit-on dans le rapport.
« Ce type de vulnérabilité repose fortement sur les fuites d’adresses de gestion de tas de bureau […], et si ce problème n’est pas résolu en profondeur, il reste un risque de sécurité pour les systèmes plus anciens. »
Numen suggère que les administrateurs système doivent être à l’affût des lectures et écritures de décalage anormales en mémoire ou liées aux objets de fenêtre, ce qui pourrait indiquer une exploitation active de CVE-2023-29336 pour l’élévation des privilèges locaux.
Il est recommandé à tous les utilisateurs de Windows d’appliquer le correctif de mai 2023, qui, mis à part la faille particulière, corrige deux autres vulnérabilités zero-day que les pirates ont activement exploitées.