Faille 0-day Windows : le même socle malveillant que la faille 0-day WizardOpium dans Chrome !

Le 1er Novembre dernier, Kaspersky Labs (via Securelist) alertait Google d'une faille zéro-day au sein de Chrome. Assignée CVE-2019-13720 et colmatée dans la version 78.0.3904.87 de son navigateur depuis, il semblerait que la vulnérabilité qui ciblait des utilisateurs se rendant sur un "portail d'actualités en Coréen" cachait, comme certaines friandises de Noël, une double-couche du genre : une autre vulnérabilité ; 0-day bien évidemment.

 

 

Si l'origine reste incertaine (à l'époque on attribuait l'exploit au groupe Lazarus mais la découverte de la seconde partie de cette faille 0-day serait du fait d'un certain "Volodya") le modus operandi est, lui, en deux temps : "un petit loader PE et l'exploit réel. Après avoir réalisé une lecture / écriture brève dans le processus de rendu du navigateur via le code JS vulnérable, l'exploit PE corrompt certains pointeurs en mémoire pour rediriger l'exécution du code vers le chargeur PE. Ceci est fait pour contourner les restrictions de sandbox car l'exploit PE ne peut pas simplement démarrer un nouveau processus en utilisant des fonctions natives WinAPI", est-il expliqué dans le billet de Kaspersky, datant du 10 Décembre.

La faille - CVE-2019-1458 - a déjà été colmaté par Microsoft à l'occasion de son sacro-saint Patch Tuesday de Décembre. Pratiquement toutes les versions de Windows étaient impactées (même Windows 10).

 

En aparté, la firme de Redmond force la marche à l'approche de la fin de support, le 14 Janvier 2020, pour Windows 7 via un écran-plein en guise d'avertissement (et non-plus une notification que l'on pouvait masquer ou désactiver en désinstallation l'update concernée)... A suivre !

 

Source : SecureList (Kaspersky) - 10 Décembre 2019 - Faille 0-day de Chrome : découverte d'une double-application pour Windows.