Disponible depuis la semaine dernière auprès du grand public, le système d'exploitation Windows 8 souffrirait d'une vulnérabilité de sécurité 0-day. Derrière ce gros mot de 0-day se cache l'existence d'une faille à exploitation immédiate, autrement dit pour laquelle aucun correctif n'est actuellement disponible.
Cette découverte est revendiquée VUPEN. La société française de sécurité affirme avoir développé un exploit 0-day pour Windows 8 et Internet Explorer 10. Une simple annonce via Twitter où son responsable Chaouki Bekrar prend le soin de préciser que le mode protégé ( sandbox ) de IE10 peut être contourné sans pour cela avoir besoin d'une exploitation de Flash Player.
IE10 intègre par défaut une technologie Flash Player pour laquelle Microsoft se charge de diffuser les mises à jour. La précision de VUPEN n'est pas anodine dans la mesure où la société avait par le passé revendiqué une vulnérabilité prenant à défaut la sandbox de Google Chrome mais en réalité via Flash.
D'après VUPEN, la vulnérabilité dans Windows 8 et IE10 est une combinaison de failles 0-day. Elle met à mal les protections Address Space Layout Randomization ( ASLR ) et Data Execution Protection ( DEP ). L'une permet une allocation aléatoire de l'espace mémoire afin de minimiser les attaques de type dépassement de tampon. L'autre empêche l'exécution de code depuis certains blocs de mémoire contenant des données.
VUPEN fait mention de techniques anti-ROP ( Return Oriented Programming ). Elles permettent de passer outre ASLR et DEP.
Peu de détails
Threatpost ( Kaspersky Lab ) rappelle que Windows 8 introduit des fonctionnalités de sécurité au niveau pré-OS avec le Secure Boot, du moins pour du matériel tirant parti de l'UEFI plutôt que le BIOS traditionnel. Un pilote ELAM ( Early Launch Antimalware ) est chargé pour une analyse avant le démarrage de tout autre pilote.
D'autres nouvelles mesures sont également censées mettre de sérieux bâtons dans les roues d'attaquants pour l'exécution de code au niveau root sur un ordinateur Windows 8. Par ailleurs, une nouvelle protection sandbox ( bac à sable ) dénommée AppContainer permet l'exécution des applications de style Modern UI dans un environnement isolé.
Ce que VUPEN a réussi à faire ou pas n'est donc pas très clair. Les détails sont volontairement maigres. VUPEN les réserve à des gouvernements ou des sociétés prêts à débourser de l'argent pour protéger leurs systèmes.
Dans une réaction obtenue par The Next Web, un porte-parole de Microsoft a déclaré que le groupe a pris connaissance du tweet mais les détails n'ont pas été partagés avec la firme de Redmond qui souligne encourager une divulgation responsable de la part des chercheurs en sécurité.