Les pirates exploitent déjà InstallerFileTakeOver Windows zero-day
2 minute. lis
Mis à jour le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Nous avons signalé hier que un chercheur en sécurité a publié un exploit d'escalade de privilèges très simple pour toutes les versions prises en charge de Windows.
L'exploit de Naceri élève facilement un utilisateur régulier aux privilèges système, comme on peut le voir dans la vidéo de BleepingComputer ci-dessous :
L'exploit "InstallerFileTakeOver" fonctionne sur Windows 10, Windows 11 et Windows Server et peut être enchaîné avec d'autres exploits pour prendre entièrement le contrôle d'un réseau informatique.
Dans un communiqué, Microsoft a minimisé le risque en déclarant :
«Nous sommes conscients de la divulgation et ferons le nécessaire pour assurer la sécurité et la protection de nos clients. Un attaquant utilisant les méthodes décrites doit déjà avoir accès et avoir la possibilité d'exécuter du code sur la machine d'une victime cible.
Maintenant, BleepingComputer rapporte que les pirates ont déjà commencé à explorer le piratage.
« Talos a déjà détecté des échantillons de logiciels malveillants dans la nature qui tentent de tirer parti de cette vulnérabilité » a affirmé Valérie Plante. Jaeson Schultz, responsable technique du groupe Talos Security Intelligence & Research de Cisco.
Les pirates semblent être encore dans la phase de développement de leur malware.
« Au cours de notre enquête, nous avons examiné des échantillons de logiciels malveillants récents et avons pu en identifier plusieurs qui tentaient déjà d'exploiter l'exploit », a déclaré Nick Biasini, responsable de la sensibilisation de Cisco Talos. « Comme le volume est faible, il s'agit probablement de personnes travaillant avec le code de validation de principe ou de tests pour les futures campagnes. C'est juste une preuve supplémentaire de la rapidité avec laquelle les adversaires travaillent pour armer un exploit accessible au public. »
Naceri, qui a publié le code de preuve de concept pour le jour zéro, a déclaré à BleepingComputer qu'il l'avait fait en raison de la baisse des paiements de Microsoft dans son programme de primes aux bogues.
"Les primes Microsoft ont été supprimées depuis avril 2020, je ne le ferais vraiment pas si MSFT ne prenait pas la décision de rétrograder ces primes", a expliqué Naceri.
La frontière entre les chercheurs en sécurité et les auteurs de logiciels malveillants étant très mince, Microsoft voudra peut-être réévaluer sa stratégie de prime aux bogues à l'avenir.
via BleepingComputer
