Une méchante vulnérabilité Windows zero-day que Microsoft n’a jusqu’à présent pas réussi à corriger a finalement obtenu un correctif non officiel.
Le CVE-2021-34484 (et plus tard CVE-2022-21919), une vulnérabilité de gravité 7.8 permet l’élévation des privilèges dans Windows 10, Windows 11 et Windows Server, mais a maintenant été corrigé par l’équipe 0patch et est disponible en téléchargement au ce lien pour tous les utilisateurs enregistrés.
La faille a été découverte pour la première fois par le chercheur en sécurité Abdelhamid Naceri, qui l’a divulguée à Microsoft à l’été 2021, la société publiant un correctif dans le cadre de son correctif d’août 2021 mardi.
S’il n’est pas cassé, n’essayez pas de le réparer
Cependant, Naceri a rapidement découvert que le correctif lui-même était défectueux et a publié une preuve de concept qui montre comment un attaquant pourrait encore abuser de la vulnérabilité. Là où Microsoft a échoué, 0patch a réussi. Cependant, lorsque Microsoft a réalisé que le correctif avait échoué, il a donné à la vulnérabilité un nouvel ID de suivi (CVE-2022-21919) et a poussé un autre correctif.
Celui-ci, selon Naceri, était « pire que le premier » car il supprimait le correctif non officiel initial, mettant tous ceux qui l’avaient appliqué en danger.
Maintenant, 0patch a porté le correctif, qui fonctionne désormais avec la mise à jour Patch Tuesday de mars 2022. Comme pour le précédent, celui-ci est également gratuit pour les utilisateurs enregistrés. Voici la liste des versions d’OS qui peuvent l’appliquer :
Windows 10 v21H1 (32 et 64 bits) mis à jour avec les mises à jour de mars 2022
Windows 10 v20H2 (32 et 64 bits) mis à jour avec les mises à jour de mars 2022
Windows 10 v1909 (32 et 64 bits) mis à jour avec les mises à jour de mars 2022
Windows Server 2019 64 bits mis à jour avec les mises à jour de mars 2022
Le correctif d’origine de 0patch fonctionne toujours sur Windows 10 1803, Windows 10 1809 et Windows 10 2004.
Il n’y a aucune preuve que les failles soient exploitées à l’état sauvage avec des logiciels malveillants ou des virus, a confirmé la publication. Les appareils arrivés en fin de vie n’ont pas reçu la mise à jour.
Via : BleepingComputer