À propos de la faille de sécurité « make me admin » dans l’installateur Windows. Voici comment elle est exploitée.

Dans le Patch Tuesday de cette semaine, Microsoft a alerté les utilisateurs sur, entre autres vulnérabilités, une faille dans Windows Installer qui peut être exploitée par un logiciel malveillant ou un utilisateur malveillant pour obtenir des privilèges au niveau du SYSTEM afin de pirater un PC. La vulnérabilité, CVE-2024-38014, a été repérée et divulguée en privé par la société de sécurité SEC Consult, qui a maintenant partagé tous les détails sur le fonctionnement de cette attaque. Le chercheur a publié un outil open source pour scanner un système à la recherche de fichiers Installer qui peuvent être exploités pour élever les privilèges locaux. Microsoft a déclaré que le bug est déjà exploité, ce qui pourrait signifier qu’il reconnaît que l’exploit de SEC Consult pour la faille fonctionne, ou que des individus malveillants l’utilisent en pleine nature, ou les deux. Le géant du logiciel a refusé de commenter au delà de ce qu’il avait déjà déclaré dans ses avis du Patch Tuesday. Oui, c’est encore une autre faille d’escalade de privilèges, mais c’est une si intéressante que nous avons pensé que cela vous intéresserait d’en savoir plus. La correction… Microsoft a corrigé cette faille en ajoutant une invitation UAC avant que la faille de conception ne puisse être exploitée. Cela nécessite que l’utilisateur ait accès aux droits administratifs pour mener à bien l’action, éliminant ainsi la voie possible d’escalade de privilèges. Le chercheur de SECC, Michael Baer, a découvert la faiblesse exploitable en janvier. La correction s’est avérée être une tâche complexe et Microsoft a demandé plus de temps pour y remédier avec un correctif, qu’il a mis en œuvre cette semaine. Le plan original était de combler la faille en mai, mais cela a été repoussé à septembre pour des raisons techniques. Maintenant, Baer a rédigé un article de blog expliquant exactement le fonctionnement de l’attaque.