Présentation de la faille

Un chercheur a publié du code d'exploitation qui permet à des comptes Windows à privilèges limités d'apporter des modifications sensibles aux comptes d'administrateurs. Cette faille, appelée HiveLegacy, est une élévation de privilèges qui cible une vulnérabilité dans le service de profil utilisateur de Windows.

Fonctionnement de l'exploit

L'exploit HiveLegacy permet aux utilisateurs avec des droits système limités de compromettre un compte d'administrateur en modifiant les classes de registre de l'utilisateur, une ressource qui assure l'ouverture de l'application correcte lorsque certains types de fichiers sont cliqués dans l'Explorateur Windows. Pour fonctionner, l'exploit nécessite que l'attaquant connaisse les informations d'identification d'un autre utilisateur, qui n'a pas besoin d'être un administrateur.

Implications et limites

La faille HiveLegacy peut être qualifiée de « primitive puissante » car elle permet à l'attaquant de modifier le registre Windows associé à un compte d'administrateur. Cependant, l'exploit tel qu'il est écrit nécessite que l'attaquant connaisse le nom d'utilisateur d'un troisième compte sur la machine, avec ou sans statut d'administrateur. Le chercheur qui a publié l'exploit, NightmareEclypse, a affirmé que le code de preuve de concept incluait dans le rapport a été simplifié pour empêcher les attaquants de l'utiliser de manière malveillante.

Contexte technique

La publication de cette faille de sécurité intervient alors que Microsoft vient de publier un nombre record de correctifs de sécurité. Le chercheur NightmareEclypse a déjà publié neuf exploits de ce type, dont celui-ci, en raison de son insatisfaction quant à la façon dont Microsoft gère les rapports de bogue. Cette faille souligne l'importance pour les utilisateurs de mettre à jour leurs systèmes d'exploitation régulièrement et de suivre les meilleures pratiques de sécurité pour protéger leurs comptes et leurs données.