[EXPLOIT][MICROSOFT] Prise de contrôle du système via une vulnérabilité au sein de Microsoft Windows

[EXPLOIT][MICROSOFT] Prise de contrôle du système via une vulnérabilité au sein de Microsoft Windows

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée (24 au 30 juillet). Nous vous proposons de revenir sur la publication d’un code d’exploitation affectant Microsoft Windows. L’exploitation de cette vulnérabilité permettait à un attaquant de prendre le contrôle du système à distance.


Description
Une preuve de concept, exploitant l’une des vulnérabilités présentées dans le bulletin CXA-2017-2264, a été publiée.

La vulnérabilité, référencée CVE-2017-8464, affecte le parser de fichiers LNK utilisé par Windows Explorer et d’autres composants de Windows. L’exploitation de cette faille permet à un attaquant d’exécuter du code arbitraire et de prendre le contrôle de la machine, en amenant l’utilisateur à consulter un répertoire contenant un fichier LNK spécialement conçu.

La preuve de concept se matérialise sous la forme d’un module Metasploit. Ce code permet de créer un fichier LNK embarquant du code malveillant.
En incitant un utilisateur à consulter un répertoire contenant ce document malveillant, un pirate était alors en mesure de prendre le contrôle du système.


Code d’exploitation
Le code d’exploitation est disponible à l’adresse suivante :
https://github.com/rapid7/metasploit-framework/blob/[…]/modules/exploits/windows/fileformat/cve_2017_8464_lnk_rce.rb


Recommandation
Le CERT-XMCO recommande l’application des correctifs disponibles via le mécanisme de mise à jour automatique.


Référence(s)
https://github.com/rapid7/metasploit-framework/blob/[…]/modules/exploits/windows/fileformat/cve_2017_8464_lnk_rce.rb
https://leportail.xmco.fr/watch/advisory/CXA-2017-2264


Cert-XMCO