Brisez les barrières et les suppositions : Techniques d'élévation de privilèges sur Windows : Partie 2

Ce document détaille comment les flux de données alternatifs NTFS (ADS) peuvent être exploités pour contourner les hypothèses de sécurité et atteindre l'élévation de privilèges. La technique, découverte par le chercheur Abdelhamid Naceri, exploite le fait que les répertoires avec ADS sont considérés comme vides, permettant la création de jonctions NTFS même après que le programme a vérifié si le répertoire est vide. Cette technique est illustrée à travers deux vulnérabilités : CVE-2024-0353 dans les produits de sécurité ESET et CVE-2024-7238 dans VIPRE Advanced Security. Les deux vulnérabilités impliquent des fonctionnalités de protection en temps réel qui suppriment les fichiers malveillants détectés. L'exploit consiste à créer un ADS contenant une chaîne de test EICAR et à surveiller les modifications des attributs de fichier ou des timestamps. Lorsqu'une modification est détectée, signalant une suppression imminente, une jonction NTFS est créée, pointant vers le fichier cible que l'attaquant souhaite supprimer. L'exploit réussit car ESET et VIPRE ne prennent pas les précautions nécessaires lors de l'ouverture des fichiers pour suppression, comme vérifier la présence de points de reparse ou mettre en œuvre correctement l'impersonnalisation. Cela permet aux attaquants de rediriger l'opération de suppression vers des fichiers arbitraires, y compris des fichiers critiques pour le système, menant à une élévation de privilèges. Le document souligne que plusieurs vendeurs et produits pourraient être vulnérables à cette technique en raison d'un manque de tests et exhorte ces derniers à offrir des essais gratuits pour la recherche en sécurité. Il met également en évidence l'importance de la mise en œuvre appropriée de l'impersonnalisation pour prévenir de telles vulnérabilités. Les auteurs exhortent les défenseurs à évaluer leurs produits pour ces faiblesses potentielles et les vendeurs à prioriser les tests de sécurité et les pratiques de divulgation responsable. Cette analyse détaillée de la technique d'exploitation ADS constitue un avertissement et un appel à l'action pour la communauté de la cybersécurité.