Microsoft vient de réparer dans son moteur d'analyse de malware un bug qui aurait pu être utilisé comme tremplin pour des attaques visant à prendre le contrôle d'une machine sous Windows. Le problème a été rectifié par une mise à jour du produit livrée hier par Microsoft. Il s'agissait d'une élévation du niveau de privilège qui pouvait permettre à un pirate ayant déjà accès au système Windows d'en obtenir un contrôle complet.

L'éditeur n'a constaté pour l'instant aucune utilisation de ce bug repéré par l'expert en sécurité Cesar Cerrudo, mais il pense que des hackers pourraient effectivement développer du code pour exploiter cette faille.


Un risque réel mais limité

Contacté par nos confrères d'IDG News Service par messagerie instantanée, Cesar Cerrudo, PDG de la société Argeniss, a précisé avoir signalé le bug publiquement à l'occasion de la conférence de sécurité Black Hat de juillet 2010. Mais dans la mesure où le hacker voulant profiter de cette faille devait déjà avoir accès à la machine pour mener son attaque, l'expert ne croit pas que cette vulnérabilité présente un risque majeur de sécurité pour la plupart des utilisateurs. Certes, « elle peut être exploitée à distance, par exemple sur Internet Information Server (IIS), mais l'attaquant devra pouvoir charger du code sur IIS, a-t-il expliqué. Les sites qui autorisent les utilisateurs à transmettre (upload) des pages web sont donc ceux qui sont le plus exposés ».

La version
1.1.6502.0 du moteur est concernée

Le bug a été évalué « important » par Microsoft. Un utilisateur malintentionné pourrait en tirer parti en modifiant la valeur d'une clé dans le registre de Windows qui serait alors traité par le moteur de malware lors de l'analyse suivante. Il pourrait alors l'exploiter s'il se trouve déjà sur une machine ayant les privilèges utilisateur. « Il pourrait lancer l'exécution de code et prendre le contrôle complet du système, a indiqué Microsoft dans un avis de sécurité publié hier, 23 février. La personne « pourrait installer des programmes, visualiser, modifier ou détruire des données, ou bien créer de nouveaux comptes possédant la totalité des droits d'utilisation ».

Le problème a été corrigé par la version 1.1.6603.0 du Malware Protection Engine, qui est utilisé dans les produits Live OneCare, Security Essentials, Defender, Forefront Client Security, Forefront Endpoint Protection 2010 et Malicious Software Removal Tool. La dernière version affectée du Malware Protection Engine est la 1.1.6502.0.

Les clients devraient recevoir cette correction de façon automatique, dans le cadre de la mise à jour mensuelle du moteur d'analyse des malwares. L'éditeur avait déjà signalé des bugs dans ce produit en 2008 et 2007.