Abusant des suppressions de fi... Note

Abusant des suppressions de fichiers arbitraires pour accroître les privilèges et d'autres astuces incroyables (Archive)

En mars 2021, le chercheur Abdelhamid Naceri a signalé une vulnérabilité dans le service de profil utilisateur qui permettait la suppression d'un fichier arbitraire en tant que SYSTEM. Cette vulnérabilité peut être exploitée pour acquérir des privilèges SYSTEM en exploitant le service d'installation de Windows. La technique d'exploitation implique la création d'un dossier factice C:\Config.Msi, la mise en place d'un verrouillage, la déclenchement de la vulnérabilité de suppression de dossier, puis le remplacement du dossier par une version malveillante contenant des scripts de restauration. Le service d'installation de Windows installera ensuite un fichier .msi avec des actions personnalisées, ce qui déclenchera une restauration et laissera tomber un DLL malveillant. L'exploit peut également être adapté pour être utilisé avec des primitives de suppression de fichiers en supprimant le flux d'allocation d'index d'un dossier, et pour des primitives de suppression de contenu de dossier en supprimant le contenu d'un dossier accessible à l'écriture par l'attaquant.