Dans le cadre des mises à jour de sécurité 120 Patch Tuesday déployées le 11 août, Microsoft a inclus un correctif pour une vulnérabilité d’authentification Windows 10 qui affecte toutes les versions d’entreprise du système d’exploitation. La vulnérabilité d’élévation de privilèges du service de sous-système de l’autorité de sécurité locale pourrait permettre à un attaquant distant de contourner l’authentification d’entreprise du réseau.
Le problème est que, comme l’a révélé James Forshaw, chercheur de Google Project Zero, le correctif ne le résout pas complètement.
C’est, sans aucun doute, une sorte de puanteur de sécurité pour Microsoft et Google l’appelle: « Tout correctif incomplet est ajouté à l’outil de suivi des problèmes en tant qu’information supplémentaire et ne dispose pas d’un délai supplémentaire pour le résoudre ». Forshaw a déclaré dans sa divulgation.
La vulnérabilité importante n’a pas été corrigée après l’échec du patch Tuesday
La vulnérabilité n’est pas particulièrement simple à exploiter et, en tant que telle, n’est classée que comme étant «importante» plutôt que «critique». Cependant, cela peut avoir un impact sur les utilisateurs de Windows 10 en entreprise grâce à la manière dont l’ancien Windows AppContainer gère l’accès à l’authentification d’entreprise à l’aide de la connexion unique.
L’attaquant distant doit déjà disposer des informations d’identification du compte Windows sur le réseau cible. Néanmoins, une demande d’authentification malveillante adressée au service de sous-système de l’autorité de sécurité locale Windows (LSASS) pourrait alors entraîner une élévation des privilèges pour cet utilisateur. Ceci est, à part l’évaluation non critique, un gros problème car LSASS est un élément clé de la connexion à un processus d’authentification Windows PC géré par Active Directory.
L’équipe Google Project Zero fait un excellent travail pour découvrir les vulnérabilités zero-day, mais applique une règle de divulgation raisonnablement stricte de 90 jours. Si le fournisseur concerné n’a pas corrigé la vulnérabilité dans les 90 jours, Project Zero devient public.
Il y a eu des exceptions, avec un délai supplémentaire accordé, pour des questions particulièrement complexes. CVE-2020-1509, semble-t-il, n’en fait pas partie. Il a été initialement signalé à Microsoft le 5 mai, et une extension avait déjà été accordée le 30 juillet. La divulgation comprend une preuve de concept, ce qui fait de cet échec à corriger encore plus un problème de sécurité pour les utilisateurs de Windows 10 concernés.
Aucune atténuation ou solution de contournement fournie
Bien sûr, il n’est pas surprenant que la décision de ne pas prolonger ait été prise car la divulgation avait déjà été publiée, avec cette preuve de concept, quand on pensait que le correctif du Patch Tuesday l’avait, eh bien, corrigé. Ce chat était bel et bien sorti du sac au moment où il s’est rendu compte que le correctif avait échoué, au moins en partie.
«Le problème est que l’appel DsCrackSpn2 qui a été signalé comme incorrect n’a pas été résolu», a déclaré Forshaw, «ce n’est pas aussi général que le bogue d’origine car le système doit avoir un proxy configuré, mais dans les environnements d’entreprise, c’est probablement un et où ce problème est le plus grave. «
Microsoft avis de sécurité déclare qu’il n’y a aucune atténuation ni solution de contournement pour cette vulnérabilité. À ce stade, rien n’indique non plus quand un correctif complet sera disponible. J’ai contacté Microsoft pour poser cette question et je mettrai à jour cet article si j’obtiens une réponse.
.