Microsoft Patch Tuesday : piqûre de rappel sous l’étendard zero-day

Device Guard et ses fonctionnalités basées sur la virtualisation pour protéger l’intégrité du code du noyau, les améliorations apportées à ASLR contre la corruption des entrées dans la table de pages… Microsoft saisit l’occasion pour rappeler les garanties que Windows 10 est censé apporter en matière de sécurité.

L’occasion en question, c’est la découverte d’un exploit qui cible un grand nombre d’éditions de l’OS… mais pas les plus récentes, probablement à cause des remparts complémentaires érigés par la firme.

La faille sur laquelle se fonde cet exploit a été corrigée dans le Patch Tuesday du mois de mars, par l’intermédiaire du bulletin MS17-013. Répertoriée CVE-2017-0005, elle peut permettre l’exécution de code en mode administrateur, après élévation de privilèges.

Sur la base du témoignage d’un partenaire, Microsoft explique que la vulnérabilité, localisée dans le composant Win32k du GDI (Graphics Device Interface), a fait l’objet d’une exploitation par un groupe de cyberespions nommé Zirconium.

Pour être exécuté, le code doit d’abord être déchiffré. À la suite de quoi l’exploitation de la faille CVE-2017-0005 démarre… sur les environnements Windows 2000 à Windows 8.

L’attaque est rendue possible par un pointeur corrompu dans la fonction PALETTE.pfnGetNearestFromPalentry.

Les équipes de Microsoft avaient repéré – et décrit, dans une présentation de 2015 – une technique similaire dans le cadre de leurs recherches sur la version 2.0 du ver Duqu.

L’Anniversary Update de Windows 10 (lancée en août dernier) a apporté une défense supplémentaire : la vérification systématique de la validité des pointeurs PALETTE.

Depuis Windows 8, avec l’architecture Intel Ivy Bridge, il y a aussi le SMEP (Supervisor Mode Execution Protection), activé par défaut pour rendre certaines zones mémoire non exécutables.