Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur l’annonce de la mise en vente d’une vulnérabilité de type 0day.
Description :
Un pirate a récemment mis en vente un code d’exploitation permettant de tirer parti d’une faille 0day de type « Élévation de privilèges », permettant à un utilisateur d’obtenir les privilèges d’administration sur n’importe quel système Windows, depuis Windows 2000 jusqu’à Windows 10.
Le prix de vente annoncé de cet exploit, sur le site exploit.in, est de 90 000 dollars. L’auteur de ce code, qui se fait appeler « BuggiCorp », offre en prime un support à son client. Il promet en effet une aide à son unique acheteur ayant accès à un système compromis sur lequel il souhaiterait exploiter cette faille. Étant donné le site utilisé pour faire cette annonce (exploit.in), cette annonce est vraisemblablement à prendre au sérieux. En effet, ce type de site joue le rôle d’intermédiaire entre l’acheteur et le vendeur. Le vendeur n’est donc payé qu’à la fin de la transaction, que si l’acheteur confirme que le livrable correspond bien à ce qui avait été annoncé par le vendeur.
D’après les chercheurs de Trustwave ayant identifié cette annonce, le vendeur serait un nouveau venu sur le marché, de par les nombreuses informations techniques partagées au travers de son annonce et le choix du site utilisé pour réaliser cette transaction.
Cette faille est particulièrement intéressante pour un attaquant. En effet, malgré les nombreux mécanismes de protection introduits au fil des versions de Windows, cette faille permet tout de même à un utilisateur malveillant d’élever localement ses privilèges sur la dernière version de Windows en date : Windows 10. Le code d’exploitation mis en vente permettrait également de contourner la solution EMET de Microsoft (Enhanced Mitigation Experience Toolkit), qui permet de rétro-porter les fonctionnalités de sécurité introduite dans les dernières versions de Windows dans les versions antérieures.
Microsoft n’a pas réagi à cette annonce. L’éditeur ne pourra cependant pas corriger la faille 0day exploitée sans les informations techniques précises qu’il pourrait obtenir en analysant un éventuel code d’exploitation identifié dans la nature. Les bonnes pratiques en termes de sécurité restent donc la seule protection à l’heure actuelle : maintenir son système et ses applications à jour, sensibiliser ses utilisateurs aux risques et aux pratiques à adopter pour s’en protéger …
Références :
- http://www.theregister.co.uk/2016/06/01/windows_0day_selling_for_90000
- https://www.trustwave.com/Resources/SpiderLabs-Blog/Zero-Day-Auction-for-the-Masses/
Référence CERT-XMCO :
CXN-2016-1714