[MAJ] Stuxnet : possible réminiscence mise en lumière lors de la DefCon ! (le retour...)

 

>> Mise à jour : La vulnérabilité assignée CVE-2020-1337 a été prise en charge dans le patch Tueday du mois d'Août de Microsoft. Il s'agit de la mise à jour - sous Windows 10 (version 2004, entre-autres ; toutes les versions étant impactées) - KBKB4566782 qui s'inscrit dans le patch de mise à jour cumulative. Cette dernière s'installe automatiquement depuis l'Update de Windows. Plus d'informations concernant cette vulnérabilité, dans un billet sécuritaire détaillé par VoidSec... A veiller ! <<<

 


Actualité originelle

Cela ne fera, sans doute, pas plaisir à Laurent Heslault qui avait qualifié le ver de "H1N1 des virus informatiques", en 2010 : selon les découvertes de l'équipe sécuritaire SafeBreach Labs, Stuxnet serait encore exploitable... depuis une vulnérabilité au sein du spooler Windows !

 

Selon le résumé illustré de Peleg Hadar et Tomer Bar présenté lors d'une conférence lors du DEF CON qui s'est déroulé du 6 au 9 Août dernier, Stuxnet serait toujours dans la nature. Ici, il serait question d'une (re)exploitation du vers en détournant le spooler (impression, file d'attente) de Windows : selon les études et analyses des chercheurs deux déclinaisons de la faille originelle Stuxnet, découverte en 2010, permettraient un contournement du token-impression ou encore des fichiers SHD et SPL. Concernant ces derniers, un déni de service est possible.

 

A différentes étapes de la gestion des impressions au sein du spooler et à l'époque, Stuxnet permettait de contourner cette fonctionnalité via un DLL corrompu depuis le fichier LNK, le task scheduler, Win32k ou encore le protocole-réseau RPC. Si entre-temps - avec plus ou moins d'efficacité - depuis Octobre 2010, Microsoft avait tenté de colmater ces vulnérabilités, il n'en serait, apparemment, rien.

 

La fameuse faille CVE-2010-2729 (MS10-061) relative au spooler - et découverte à l'époque par Symantec et Kaspersky Lab - et qui boucle le traitement d'impression avait été identifié en Septembre 2010 avant d'être corrigé. Un nouveau patch, prochainement, sera déployé (à nouveau) par Microsoft : un contournement multiple est possible en créant du code arbitraire pour détourner le jeton d'accès (token) du client d'impression ou encore en modifiant la sortie-fichier.

 

Sur les 5 nouvelles failles évoquées et existantes depuis 2020 en terme de variantes, deux ont déjà fait l'objet, depuis Février 2020, d'une rustine de la part de Microsoft : cela concerne les bulletins assignés CVE-2020-0720 et CVE-2020-0721 dont l'exploit repose sur la faille originelle Win32k (élévation de privilège). La vulnérabilité 0-day (CVE-2020-1048 ayant déjà fait l'objet d'un correctif en Mai dernier, il reste le contournement de ladite faille, pourtant colmatée par Microsoft :  CVE-2020-1337) sera corrigée prochainement, d'ici le prochain patch Tuesday de Microsoft. Enfin, concernant l'attaque DoS (SHD, SPL) Microsoft confirme l'exploit mais confirme, par ailleurs, qu'elle ne sera pas prise en charge par ses soins... A veiller !

 

 

Source : DEF CON 2020 - Stuxnet 2.0 : réminiscence du ver informatique Stuxnet via un PoC depuis un spooler Windows.