Google révèle une vulnérabilité de sécurité non corrigée dans Windows 8.1

Un chercheur de Google a révélé une vulnérabilité de sécurité non corrigée dans Windows 8.1. Un chercheur de Google a publié ce bogue sur la page Google Security Research et il est soumis à un délai de divulgation de 90 jours. Si 90 jours s'écoulent sans qu'un correctif soit largement disponible, le rapport de bogue deviendra automatiquement visible au public. Il n'y a aucune information indiquant si Microsoft a reconnu le bogue ou s'il y travaille. Mais je pense que c'est une décision irresponsable de la part de Google de publier une vulnérabilité sur des produits tels que Windows 8 qui est utilisé par des millions de personnes chaque jour.

Les informations suivantes ont été publiées sur le bogue,

Sur Windows 8.1, l'appel système NtApphelpCacheControl (le code est en fait dans ahcache.sys) permet de mettre en cache les données de compatibilité des applications pour une réutilisation rapide lors de la création de nouveaux processus. Un utilisateur normal peut interroger le cache mais ne peut pas ajouter de nouvelles entrées en cache car l'opération est réservée aux administrateurs. Ceci est vérifié dans la fonction AhcVerifyAdminContext.

Cette fonction présente une vulnérabilité dans laquelle elle ne vérifie pas correctement le jeton d'emprunt d'identité de l'appelant pour déterminer si l'utilisateur est un administrateur. Il lit le jeton d'emprunt d'identité de l'appelant à l'aide de PsReferenceImpersonationToken, puis effectue une comparaison entre le SID de l'utilisateur dans le jeton et le SID de LocalSystem. Il ne vérifie pas le niveau d'emprunt d'identité du jeton, il est donc possible d'obtenir un jeton d'identification sur votre thread à partir d'un processus système local et de contourner cette vérification. À cette fin, le PoC abuse du service BITS et de COM pour obtenir le jeton d'emprunt d'identité, mais il existe probablement d'autres moyens.

Il s'agit juste alors de trouver un moyen d'exploiter la vulnérabilité. Dans le PoC, une entrée de cache est créée pour un exécutable à élévation automatique UAC (par exemple, ComputerDefaults.exe) et configure le cache pour qu'il pointe vers l'entrée de compatibilité d'application pour regsvr32, ce qui force un shim RedirectExe à recharger regsvr32.exe. Cependant, n'importe quel exécutable pourrait être utilisé, l'astuce consisterait à trouver une configuration de compatibilité d'application préexistante appropriée à abuser.

Il n'est pas clair si Windows 7 est vulnérable car le chemin du code pour la mise à jour comporte une vérification des privilèges TCB (bien qu'il semble que, selon les drapeaux, cela puisse être contournable). Aucun effort n'a été fait pour le vérifier sur Windows 7. REMARQUE : il ne s'agit pas d'un bogue dans l'UAC, il utilise simplement l'élévation automatique de l'UAC à des fins de démonstration.

Le PoC a été testé sur la mise à jour Windows 8.1, les versions 32 bits et 64 bits. Je recommanderais de courir sur 32 bits juste pour être sûr. Pour vérifier, procédez comme suit :

1) Mettez AppCompatCache.exe et Testdll.dll sur le disque
2) Assurez-vous que l'UAC est activé, que l'utilisateur actuel est un administrateur à jeton partagé et que le paramètre UAC est la valeur par défaut (pas d'invite pour des exécutables spécifiques).
3) Exécutez AppCompatCache à partir de l'invite de commande avec la ligne de commande "AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll".
4) En cas de succès, la calculatrice devrait apparaître en cours d'exécution en tant qu'administrateur. Si cela ne fonctionne pas la première fois (et que vous obtenez le programme ComputerDefaults), relancez l'exploit à partir de 3, il semble y avoir parfois un problème de mise en cache/synchronisation lors de la première exécution.

La source: Google via: Neowin