Windows 10 : Google Zero révèle une deuxième faille sans que Microsoft ait pu la patcher !

Maj. le 5 avril 2018 à 19 h 45 min

Windows 10 est encore dans le viseur de Google Zero. Le projet qui avait déjà révélé une première faille du navigateur Edge avant que Microsoft n’ait pu la patcher vient de révéler, dans les mêmes conditions, une nouvelle grosse vulnérabilité. Celle-ci permet une élévation des privilèges, permettant à une personne mal intentionnée d’obtenir des droits administrateurs avec un compte classique. La vulnérabilité implique un accès physique à la machine, ce qui a conduit les équipes de Microsoft à marquer la résolution du problème comme « importante » mais pas « critique ». 

windows 10 google zero

Google Project Zero vient de révéler une nouvelle faille de Windows 10 sans que Microsoft n’ait eu le temps de la patcher. Les chercheur en sécurité en sont à leur deuxième faille zero-day non patchée en moins d’une semaine. Il y a quelques jours, en effet, ils révélaient une grosse faille de sécurité dans Microsoft Edge. La faille permettait à toute personne mal intentionnée d’exécuter du code arbitraire à partir d’une page web ; rendant possible la prise de contrôle total de l’ordinateur. Pour ces deux failles, Google Zero a respecté un délai de 90 jours entre le moment où les équipes de Microsoft ont été prévenues et leur résolution.

Windows 10 : Google Project Zero révèle une deuxième faille zero-day en moins d’une semaine

Dans les deux cas cela n’a pas suffi à Microsoft pour s’organiser. La faille dans Edge est en fait liée à un problème de conception, et nécessite « un travail significatif » selon la firme qui pense néanmoins pouvoir adresser un correctif lors du patch tuesday de mars. La nouvelle vulnérabilité permet de son côté une élévation des privilèges  – pour simplifier cela permet d’obtenir des droits administrateur sur une machine depuis un compte limité. Dans le détail, il s’agit d’un bug dans l’appel de procédure distant SvcMoveFileInheritSecurity qui permet de changer les permissions des fichiers pour les rendre accessible à tous les comptes de la machine.

La faille était censée être corrigée, mais Google a démontré, code à l’appui, qu’il était encore possible de créer un fichier accessible à tous les comptes dans le répertoire Windows depuis un compte aux permissions pourtant limitées. Cette nouvelle faille qui requiert un accès physique à la machine, n’est pas considérée comme critique par Microsoft. Du reste, elle est désormais bien documentée, et il ne semble pas vraiment possible de se protéger en attendant le correctif. Google Project Zero a déjà mis plusieurs fois Microsoft à l’amende en révélant des failles de sécurité.

En fait selon une source citée par The Verge, les failles de Windows sont la raison d’être de Google Project Zero. Le groupe de chercheurs en sécurité aurait été créé de manière informelle en 2009 après un piratage majeur de Google liée à une vulnérabilité zero-day dans Microsoft Internet Explorer 6. Outre le délai de 90 jours, Google Zero donne dans certains cas des délais gracieux supplémentaires. Un privilège dont Microsoft semble rarement profiter. Pensez-vous que c’est la bonne méthode pour pousser Microsoft à s’occuper de ses failles de sécurité ? Les chercheurs du Google Project Zero devraient-ils être plus souples ? Partagez votre opinion dans les commentaires !

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !