[PATCH] [MICROSOFT] Élévation de privilèges via 6 vulnérabilités au sein des pilotes en mode noyau de Microsoft Windows (MS15-051)

[PATCH] [MICROSOFT] Élévation de privilèges via 6 vulnérabilités au sein des pilotes en mode noyau de Microsoft Windows (MS15-051)

Cette semaine, le CERT-XMCO a retenu le bulletin Microsoft MS15-051 parmi l’ensemble des bulletins publiés dans le cadre du patch Tuesday. En effet, un code d’exploitation a été publié juste après la publication du patch correctif.

Bulletin CXA-2015-1523
Titre Élévation de privilèges via 6 vulnérabilités au sein des pilotes en mode noyau de Microsoft Windows (MS15-051)
Titre officiel Microsoft Security Bulletin MS15-051 – Important – Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (3057191)
Criticité Criticite Moyenne
Date 13 Mai 2015
Plateforme Windows
Programme Microsoft Windows
Exploitation Locale
Dommage Vol d’informations
Contournement de sécurité
Elévation de privilèges
Description Six vulnérabilités ont été corrigées au sein du système d’exploitation Windows. Leur exploitation permettait à un attaquant d’accéder à des informations techniques permettant de contourner des mécanismes de sécurité, voire d’élever ses privilèges sur un système vulnérable.

Les failles de sécurité référencées CVE-2015-1676, CVE-2015-1677, CVE-2015-1678, CVE-2015-1679 et CVE-2015-1680 provenaient d’erreurs liées à la gestion de la mémoire au sein des pilotes en mode noyau de Windows. Un attaquant pouvait utiliser ces vulnérabilités pour obtenir des informations techniques permettant de contourner certains mécanismes de sécurité tel que l’ASLR.

La faille de sécurité référencée CVE-2015-1701 provenaient d’erreurs dans la gestion de la mémoire au sein des pilotes en mode noyau de Windows permettant à un attaquant authentifié d’élever ses privilèges.

Cette dernière vulnérabilité a été exploitée dans le cadre de l’attaque « APT-28 » découverte par FireEye.

Note : L’installation de ce correctif nécessite le redémarrage du système.
Note 2 : Ce correctif remplace les mises à jour du bulletin MS15-023 (KB3034344).

Exploit Une preuve de concept que nous avons validée est disponible sur Internet
Vulnérable * Microsoft Windows Server 2003 SP2 (Editions 32 bits, 64 bits et Itanium)
* Windows Vista SP2 (Editions 32 bits et 64 bits)
* Windows 7 SP1 (Editions 32 bits et 64 bits)
* Windows 8 (Editions 32 bits et 64 bits)
* Windows 8.1 (Editions 32 bits et 64 bits)
* Windows RT et RT 8.1
* Windows Server 2008 R2 SP1 (Editions 64 bits, Itanium, et installation Server Core)
* Windows Server 2012 (Editions Standard et installation Server Core)
* Windows Server 2012 R2 (Editions Standard et installation Server Core)
* Windows Server 2008 SP2 (Editions 32 bits et 64 bits, Installation Server Core et Itanium)
Référence https://technet.microsoft.com/library/security/ms15-051.aspx
https://support.microsoft.com/kb/3057191
Référence CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1701
Correction Le CERT-XMCO recommande l’installation des correctifs (KB3057191) disponibles auprès de l’éditeur à l’adresse suivante :

* Windows Server 2003 SP2 (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=19acf15d-e623-440a-9591-1c7d71d7a8c8

* Windows Server 2003 SP2 (64 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=1377113d-6f56-458d-ab84-ba780cd6a3af

* Windows Server 2003 SP2 (Itanium) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=602c9586-689a-4bab-af57-c8b9bcd61640

* Windows Vista SP2 (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=383cfa46-9a58-4ffe-a0a6-5c8f616c8bf8

* Windows Vista SP2 (64 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=c186dd76-e7d6-4bb8-b508-ee9fc1b640d3

* Windows Server 2008 SP2 (32 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=6f2e390c-eeda-404d-acb3-f6c28b4616be

* Windows Server 2008 SP2 (64 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=b10166db-a6af-4e9f-b6ea-dd0cfc3eb6e8

* Windows Server 2008 SP2 (Itanium) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=372aa8e3-d081-4fb6-bdc4-b3f2934833c5

* Windows 7 SP1 (32 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=fd9345fb-394c-433a-921b-6ecb40dbc1d9

* Windows 7 SP1 (64 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=bfbbdba4-5528-4091-90f3-5bb0dce7d563

* Windows Server 2008 R2 SP1 (64 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=900ffc3d-0312-4119-9f3f-5403f8334fed

* Windows Server 2008 R2 SP1 (Itanium) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=6d2fcc77-47b2-4a04-8ffe-3f2bd5d1524e

* Windows 8 (32 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=c0d44cf8-ac1c-4d2d-882e-ef15432d3a6b

* Windows 8 (64 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=266c9472-ad87-4fa9-9ae3-c53327f6b09f

* Windows 8.1 (32 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=2e3d9b4e-c3cd-4724-9f5a-cbd69a4acdde

* Windows 8.1 (64 bits) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=3beb5391-b901-412b-9591-f57324cfb1fd

* Windows Server 2012 (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=f8662d6e-3836-48b4-a61c-09ccd58211fd

* Windows Server 2012 R2 (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=85c1fe77-ef0e-4f65-aa13-3bf8f29d29d1

* Windows Server 2008 SP2 (32 bits installation Server Core) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=6f2e390c-eeda-404d-acb3-f6c28b4616be

* Windows Server 2008 SP2 (64 bits installation Server Core) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=b10166db-a6af-4e9f-b6ea-dd0cfc3eb6e8

* Windows Server 2008 R2 SP1 (64 bits installation Server Core) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=900ffc3d-0312-4119-9f3f-5403f8334fed

* Windows Server 2012 (installation Server Core) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=f8662d6e-3836-48b4-a61c-09ccd58211fd

* Windows Server 2012 R2 (installation Server Core) (KB3045171)
https://www.microsoft.com/downloads/details.aspx?familyid=85c1fe77-ef0e-4f65-aa13-3bf8f29d29d1

* Windows RT
Windows Update

* Windows RT 8.1
Windows Update

Id XMCO CXA-2015-1523
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-1523

Cert-XMCO