Passer au contenu

Cette chercheuse découvre une faille zero-day dans Windows 10 et la publie sur Twitter

Un bug dans la gestion des tâches de Windows 10 permet à un attaquant d’obtenir les droits système sur une machine. Aucun patch n’est prévu pour l’instant alors que plusieurs codes d’exploitation circulent déjà.

Habituellement, les chercheurs en sécurité prennent toujours quelques précautions quand il s’agit de publier des failles de sécurité. SandboxEscaper, de son côté, n’y est pas allée par quatre chemins : elle a directement publié sur Twitter et GitHub – et avec un langage fleuri – les preuves d’une vulnérabilité dans la gestion des tâches de Windows. Cette faille permet à un attaquant capable d’exécuter du code sur une machine et d’obtenir les droits système, ce qui est juste en dessous des droits administrateurs.   

Cette faille a été confirmée par le CERT Carnegie Mellon et le chercheur Will Dormann. Ce dernier a réussi à l’exploiter sur un ordinateur Windows 10 totalement patché.

https://twitter.com/wdormann/status/1034201023278198784

De son côté, le chercheur Kevin Beaumont a également confirmé le risque de sécurité au travers de son propre exploit. Aucun patch n’est disponible pour le moment et Microsoft n’a fait aucun commentaire spécifique sur la question. Visiblement, l’éditeur ne considère pas cette faille comme critique. Elle est pourtant déjà utilisée dans le cadre de tests de pénétration. Un correctif sera probablement diffusé à l’occasion du prochain Patch Tuesday, le 11 septembre.  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN