Windows 11 : une faille zero-day découverte juste après le déploiement du Patch Tuesday, la tuile
Alors que le Patch Tuesday du mois de juillet venait tout juste d'être publié, un chercheur en cybersécurité a probablement gâché la fête chez Microsoft en découvrant une nouvelle faille zero-day. Celle-ci permet d'activer certains privilèges administrateurs sur le PC, pouvant mener à divers types d'attaques.

Chaque mois, Microsoft publie une mise à jour de sécurité fort importante, baptisée le Patch Tuesday. Celle-ci vient corriger toutes les failles découvertes au cours du mois précédent dans Windows 11, dont certaines particulièrement graves, améliorant ainsi la protection du système pour les utilisateurs. Toutes ? Non ! Certaines résistent encore et toujours aux chercheurs en cybersécurité. Il arrive donc que l'on découvre une nouvelle faille à peine quelques heures après le déploiement du Patch Tuesday.
C'est exactement ce qu'il s'est passé ce mois-ci. Alors que Microsoft venait de publier un Patch Tuesday venant combler un nombre record de failles, un chercheur se faisant appeler NightmareEclypse a de son côté publié un rapport sur une faille zero-day extrêmement dangereuse. Selon lui, celui-ci permettrait à un pirate de s'accaparer certains privilèges administrateurs, à partir du profil utilisateur Windows.
Sur le même sujet — Ce Patch Tuesday de Windows 11 arrive au moment où une faille est activement exploitée, téléchargez-le vite
Cette faille zero-day a été découverte juste après le Patch Tuesday
NightmareEclypse a baptisé cette faille HiveLegacy, puisqu'elle nécessite de passer par l'éditeur de registre pour être appliquée. Concrètement, il suffit de modifier quelques paramètres pour s'assurer que du code s'exécute en arrière-plan dès qu'une certaine application est ouverte. « Si je parviens à configurer le système de manière à ce qu’il exécute mon code lorsque l’utilisateur administrateur se connecte, […] je n’ai pas besoin d’être moi-même administrateur », explique Will Dormann, analyste principal en vulnérabilités chez Tharros Labs, auprès d'Ars Technica.
De fait, cette faille nécessite pour le moment un accès direct à l'ordinateur ciblé, et surtout que celui-ci soit déjà déverrouillé — ou que le pirate connaisse les identifiants de connexion de sa cible. Cela réduit certes les risques, mais, comme le précise Will Domarn, « des pirates astucieux ou des personnes déterminées pourront facilement trouver le moyen de réaliser des actions plus intéressantes et/ou ne nécessitant même pas d’intervention de l’utilisateur. » Microsoft travaille d'ores et déjà sur un patch correctif.