Windows 10 et Windows 11 sont victimes d'une nouvelle faille de sécurité. D'après un chercheur en informatique, une brèche introduite par le dernier patch tuesday permet en effet de prendre le contrôle total d'un ordinateur. Microsoft n'a pas encore corrigé la vulnérabilité. 

Abdelhamid Naceri, chercheur en sécurité informatique, a repéré une grave faille de sécurité dans le code de toutes les versions de Windows prises en charge par Microsoft, y compris Windows 11, Windows 10 et Windows Server 2022. Comme le rapportent nos confrères de Bleeping Computer, l'expert a découvert cette brèche de sécurité en analysant le dernier patch Tuesday de Microsoft.

En cherchant à corriger une autre vulnérabilité, Microsoft a apparemment provoqué l'apparition d'une faille encore plus dangereuse. Pire, Abdelhamid Naceri affirme qu'il est très facile de contourner le patch déployé par Microsoft pour protéger les utilisateurs. De fait, l'éditeur de logiciels se retrouve avec deux brèches béantes. Notez que ce ne sont pas les seules failles repérées récemment sur Windows. Il y a quelques mois, une faille vieille de 16 ans a mis en danger des millions de PC Windows.

Un bug Windows permet d'octroyer un accès administrateur

“Cette variante a été découverte lors de l'analyse du correctif CVE-2021-41379. Le bug n'a toutefois pas été corrigé correctement”, explique Abdelhamid Naceri dans un dépôt sur Github. D'après lui, la vulnérabilité permet à un attaquant d'obtenir facilement un accès administrateur à l'ordinateur de ses victimes. In fine, un pirate peut prendre le contrôle complet d'un ordinateur s'il dispose d'un accès physique à la machine.

Pour prouver les dires du chercheur, Bleeping Computer a testé l'exploitation de la faille sur un ordinateur. Par le biais d'un compte aux accès limités, il est très facile d'obtenir des privilèges système et d'outrepasser les sécurités de Windows. Pour rappel, une faille analogue a été repérée au cours de l'été. Avant d'être corrigée, la brèche permettait à n'importe qui de devenir administrateur.

L'expert en sécurité explique avoir divulgué publiquement la faille de sécurité pour protester contre la réduction des primes décrétées par Microsoft. Le géant américain aurait drastiquement réduit les montants offerts aux développeurs qui repèrent une faille. “Les primes Microsoft ne valent rien depuis avril 2020, je ne le ferais vraiment pas si Microsoft ne prenait pas la décision de baisser ces primes”, explique le chercheur. Malgré tout, Microsoft a versé 13 millions de dollars l'année passée aux individus ayant trouvé des bugs dans ses logiciels. C'est cependant moins que les années précédentes.

Lire aussi : un bug Windows 11 fait planter votre PC, Microsoft travaille sur un correctif

On s'attend à ce que Microsoft corrige la brèche dans une future mise à jour, probablement lors du prochain patch tuesday. “La meilleure solution de contournement disponible pour le moment est d'attendre que Microsoft publie un correctif de sécurité, en raison de la complexité de cette vulnérabilité”, encourage le chercheur.

Source : Bleeping Computer