Correctif temporaire pour une vulnérabilité Windows activement exploitée

Le chercheur Abdelhamid Naceri a publié mardi 30 novembre un correctif temporaire pour une variante de la vulnérabilité CVE-2021-41379. Cette dernière touche l’installateur de Windows et permet une élévation de privilèges sur une machine affectée. Les correctifs proposés par Microsoft en novembre, pour la CVE-2021-41379, n’empêchent pas l’exploitation de sa variante.

Abdelhamid Naceri a rendu public, dans le courant du mois dernier, un démonstrateur d’exploitation de la vulnérabilité. Et d’estimer alors que « la meilleure correction est d’attendre que Microsoft publie un correctif de sécurité, en raison de la complexité de cette vulnérabilité ».

Mais voilà, depuis la publication du démonstrateur, le 21 novembre, au moins deux fournisseurs, Cisco Talos et McAfee, ont signalé une exploitation associée à la nouvelle variante de CVE-2021-41379. Jaeson Schultz, responsable technique du Talos Security Intelligence and Research Group, a écrit, dans un billet de blog du 23 novembre, que Cisco Talos avait détecté des échantillons de logiciels malveillants tentant d’exploiter la faille.

De son côté, le responsable scientifique de McAfee, Raj Samani, a tweeté lundi que McAfee avait détecté des exploitations de la vulnérabilité dans « 23 pays et de multiples secteurs d’activité ». Les pays concernés sont notamment les États-Unis, le Canada, la Chine, l’Inde et le Brésil ; trois des taux de prévalence les plus élevés sont observés en Arabie saoudite, en Ukraine et en Belgique. Bien que McAfee ait signalé l’activité, qui est classée comme une menace de gravité « élevée », comme l’exploitation de CVE-2021-41379, l’alerte fait référence au démonstrateur public de la variante d’Abdelhamid Naceri.

Ce dernier explique que son exploit ne pouvait pas être enchaîné avec d’autres vulnérabilités pour une attaque de prise de contrôle à distance : « la vulnérabilité ne peut pas être exploitée à distance – uniquement et strictement localement. Le problème, c’est que ce genre de bogue est en fait très précieux. Il est facile aujourd’hui d’obtenir l’exécution de code en tant qu’utilisateur non privilégié, en utilisant soit des vulnérabilités non inédites, soit l’ingénierie sociale. Mais il peut être difficile d’obtenir des privilèges administratifs. Dans certains scénarios, si un attaquant compromettait une machine du domaine, il pourrait éventuellement prendre le contrôle de l’ensemble du domaine ».

Cette variante de la vulnérabilité de l’installateur de Windows aura sa propre référence CVE. Abdelhamid Naceri a publié, ce mardi 30 novembre, un correctif temporaire.