Sécurité des terminaux
,
Gouvernance et gestion des risques
,
Gestion des correctifs
Les chercheurs de Zscaler sondent le fichier journal de base du système de fichiers pour exposer une faille
La fonction d’un sous-système autrefois obscur du système d’exploitation Windows appelé Common Log File System est d’enregistrer l’historique des transactions des bases de données et des systèmes de messagerie en tant qu’aide aux fonctions, y compris la prise en charge de la récupération. L’enregistrement est appelé fichier journal de base.
Voir également: Construire un déploiement IoT sécurisé à l’aide du WAN sans fil 5G
Sondez assez profondément dans le fichier journal de base et vous pourriez sortir de l’autre côté avec un accès au niveau du système. La faille, suivie comme CVE-2022-37969n’est pas un secret : Microsoft l’a corrigé lors du vidage mensuel des failles de sécurité de septembre (voir : Microsoft corrige le jour zéro activement exploité, 63 autres bogues).
Mais avant même que Microsoft ne le sache, quelqu’un d’autre l’a fait aussi, puisque le correctif est venu avec un avertissement que la vulnérabilité était activement exploitée dans la nature. Son exploitation nécessitait qu’un attaquant ait déjà obtenu l’accès à un endpoint. “Les bogues de cette nature sont souvent enveloppés dans une forme d’attaque d’ingénierie sociale, comme convaincre quelqu’un d’ouvrir un fichier ou de cliquer sur un lien”, a déclaré Dustin Childs, analyste en sécurité chez Zero Day Initiative, à l’époque.
Désormais chercheurs de l’équipe de recherche ThreatLabz de Zscaler dire ils ont identifié la cause profonde de CVE-2022-37969.
En un mot, avant que le Common Log File System ne crée un fichier journal composé du fichier journal de base, qui se compose de blocs de métadonnées et de conteneurs pour stocker les données réelles, chaque fichier journal de base commence par un en-tête. Dans l’en-tête se trouve le champ cbSymbolZone. Le champ est normalement banal. Dans ce contexte, c’est important car lorsqu’il est défini sur une valeur invalide, il peut déclencher un écriture hors limites.
Pour identifier la cause première de la vulnérabilité, les chercheurs ont développé une preuve de concept déclenchant un plantage du système d’exploitation.
Exploiter cbSymbolZone pour déclencher délibérément l’écran bleu de la mort redouté de Microsoft – au lieu, par exemple, de simplement laisser Windows s’exécuter jusqu’à ce qu’il en déclenche un lui-même – a obligé les chercheurs de Zscaler à créer un fichier journal de base avec des octets spécifiques dans des champs de métadonnées spécifiques du fichier journal de base.
Grâce essentiellement à une réaction en chaîne créée lorsque les attaquants ont invoqué le fichier journal de base modifié, les chercheurs ont déclenché le plantage du système.
Le correctif de septembre d’une faille du Common Log File System était la première fois que Redmond découvrait que des pirates l’utilisaient à des fins néfastes. Dans un article de blog d’avril 2022, la société de cybersécurité PixiePoint Security a dit que le système a d’abord gagné en popularité en tant que vecteur d’attaque en 2016, en particulier en tant que méthode pour échapper aux bacs à sable du navigateur.
