Actualités

“J’ai décidé de ne pas laisser tomber le second jusqu’à ce que Microsoft corrige celui-ci” : sur fond de mésentente de primes Bug Bounty, un chercheur dévoile une vulnérabilité 0-day sous Windows Server 2022 et Windows 11 ! (avec ou sans package…)

En toute transparence mais, aussi, dangerosité, un chercheur sécuritaire, pour signifier son mécontentement face à une répartition de la grille tarifaire des vulnérabilités du programme Microsoft Bug Bounty qui décroît decrescendo, a décidé de publier un ensemble de contournement permettant d’exploiter potentiellement dans la nature une vulnérabilité de type 0-day…

 

 

Assignée CVE-2021-41379, la faille relative à une élévation de privilèges sous l’installeur Windows n’est pourtant pas décrite en tant que telle par Microsoft : cela est principalement dû au fait que Abdelhamid Naceri, le chercheur en question, tout comme d’autres chercheurs ou experts sécuritaires, dénoncent depuis bon nombre de mois des pratiques estimées peu glorieuses quand à l’attribution des primes par type de vulnérabilités. “Dans le cadre du nouveau programme de bug bounty de Microsoft, l’un de mes zero days est passé de 10 000 $ à 1 000 $“, explique ainsi MalwareTech, depuis le 27 Juillet 2020. Plus récent mais écho similaire, un chercheur des équipes Kunlun Lab et Vulcan team of 360 qui dévoile, par l’entremise d’une correspondance avec le MSFT Bounty de Microsoft, début Novembre 2021, une actualisation des attribution-primes qui permet à la firme de justifier une réduction de prime conséquente (concernant une faille RDP) ; même agissement pour ce chercheur qui re-pointe cette diminution pour une faille relative à l’Hyper-V RCE. Autant d’économies probablement appliquée par Microsoft à la vue du contexte économique actuel (sans évoquer la réduction des matières premières pour bon nombre de fabricants dont Microsoft) qui peuvent fragiliser, à terme, la pertinence et le travail produit par de tels chercheurs qui permettent, moyennant rétribution honorable en proportion de la masse de travail effectuée dans ce domaine – même si 5 000 dollars USD paraissent beaucoup, la mise en œuvre des fameux PoC est parfois un travail de longue haleine avec des ressources, outils, sans évoquer la mentalité ou le savoir-faire du chercheur en question – de maintenir à flot un Internet pour l’utilisateur lambda à peu près stable. De ce fait, Abdelhamid Naceri, en connaissance de cause et tout en expliquant sciemment sa démarche, a décidé de dévoiler depuis Github l’ensemble de ses recherches en précisant bien que le patch de Microsoft est, au mieux, partiellement inefficace, pour l’heure.

Le bulletin recense (vulnérabilité initiale : l’autre, la variante du chercheur évoquée ci-dessus, ne ciblant “que” Windows 11 et Windows Server 2022 AVEC une possibilité d’élévation de privilèges, contrairement, donc, au bulletin sécuritaire initialement publié par Microsoft) les vulnérabilités suivantes :

 

  • Windows 7 (toute version confondue),
  • Windows 8 (toute version confondue),
  • Windows 10 (toute version confondue),
  • Windows 11 (x64, ARM64),
  • Windows Server 2008 (toute version confondue),
  • Windows Server 2016 (standard, Core),
  • Windows Server 2012 (standard, Core, R2, R2 Core),
  • Windows Server 2022 (standard, Core).

 

“La meilleure solution de contournement disponible au moment de la rédaction de cet article est d’attendre que Microsoft publie un correctif de sécurité, en raison de la complexité de cette vulnérabilité. Toute tentative de patcher le binaire directement endommagera le programme d’installation de Windows. Vous feriez donc mieux d’attendre et de voir comment Microsoft va à nouveau visser le patch […] J’ai réussi à produire 2 packages msi, chacun d’eux déclenche un comportement unique dans le service d’installation de Windows. L’un d’eux est le contournement de CVE-2021-41379 et celui-ci. J’ai décidé de ne pas laisser tomber le second jusqu’à ce que Microsoft corrige celui-ci“… A veiller !

 

 

Source : blog Abdelhamid Naceri – 22 Novembre 2021 – Vulnérabilité Windows Installer : divulgation du PoC sans entente préalable avec Microsoft (mésentente sur montant des primes du Bug Bounty).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.5