La vulnérabilité touche Windows Task Manager, le planificateur de tâches. Elle a été confirmée mais ne semble pas suffisamment grave pour forcer Microsoft à publier un correctif hors cycle.
Publiée une première fois via un compte Twtitter @sandboxescape le 27 août, la faille a été confirmée par Will Dormann, analyste pour Cert/CC. Il s’agit d’une possibilité d’élévation de privilèges dans l’interface ALPC (Advanced Local Procedure Call) du planificateur de tâches Windows. En exploitant cette faille, un utilisateur pourrait obtenir des privilèges System. Le CERT US a confirmé qu’il n’existait pour le moment aucune solution pour corriger ce problème.
Microsoft a indiqué être informé de la faille et travaille sur un correctif. Cependant, il n’est pas certain que ce correctif soit publié hors du cycle normal, le fameux Patch Tuesday qui survient le deuxième mardi de chaque mois, soit le 11 septembre prochain.
Plusieurs éléments de cette faille suscitent des controverses. La première concerne les versions touchées. Si le chercheur du CERT a confirmé le bug sur une version 64 bits de Windows 10 parfaitement mise à jour, d’autres analystes indiquent ne pas l’avoir rencontrée sur des versions de Windows 7 32 bits. Par ailleurs, il semble que cette vulnérabilité ait fait l’objet de tentatives de ventes durant le mois d’août via la plateforme Reddit et ce par une personne se présentant comme SandboxEscaper. Ces posts ont depuis été effacés.
Enfin, si la faille permet effectivement une élévation de privilèges, il faut au préalable être connecté ou exécuter du code sur la machine ciblée. L’exploitation de cette faille pourrait donc fonctionner en combinaison avec un autre type d’attaque qui consisterait à s’introduire dans la machine ciblée pour ensuite mettre à profit la faille ALPC pour prendre le contrôle total de la machine.
La « Proof of Concept » (PoC) étant désormais disponible, il est certain que des hackers s‘en sont emparés et que des vecteurs d’attaques nouveaux vont surgir dans les prochains jours ou semaines. Avant le 11 septembre ?