CVE-2024-43452 : un exploit PoC publié, Windows exposé à une élévation de privilèges !
Un code d'exploitation PoC a été mis en ligne pour la CVE-2024-43452, une faille de sécurité permettant une élévation de privilèges sur les machines Windows. Quels sont les risques liés à cette vulnérabilité ? Faisons le point.
Sommaire
La CVE-2024-43452 : une vulnérabilité déjà patchée
La faille de sécurité CVE-2024-43452 a été découverte par Mateusz Jurczyk, de l'équipe Google Project Zero. Microsoft l'a déjà corrigée en novembre dernier, à l'occasion de la publication de son Patch Tuesday de novembre 2024.z
Cette vulnérabilité importante (score CVSS de 7.5 sur 10) peut être utilisée pour élever ses privilèges sur une machine Windows : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTÈME.", peut-on lire sur le site de Microsoft.
La CVE-2024-43452 affecte aussi bien Windows 10, Windows 11, que Windows Server 2008 à Windows Server 2025.
Ce que l'on sait sur l'exploit PoC
Pour exploiter cette vulnérabilité, un attaquant peut s'appuyer sur partage distant malveillant, qui déclencherait la vulnérabilité lors d'une connexion. Mais, cela nécessite de respecter plusieurs conditions. C'est probablement pour cette raison que Microsoft considère cette faille de sécurité comme difficile à exploiter.
Cette vulnérabilité est liée au Registre Windows et à un processus appelé double-fetch utilisé lors du chargement des ruches (hives) du Registre.
Le PoC de Mateusz Jurczyk fonctionne selon le principe suivant :
1 - L'attaquant héberge un fichier hive malveillant sur un serveur SMB distant, dont il a le contrôle.
2 - Le système cible charge le hive, déclenchant des chargements et des évacuations de mémoire sous des contraintes mémoire spécifiques.
3 - Un serveur malveillant répond avec des données manipulées, corrompant la structure du hive de registre et provoquant une corruption mémoire. Il peut alors obtenir les privilèges SYSTEM sur la machine Windows.
Cette méthode implique l'utilisation d'un serveur SMB basé sur Linux pour exécuter des scripts Python dans le but de manipuler le fichier ruche. L'outil impacket est également utilisé. L'analyse de la vulnérabilité CVE-2024-43452 effectuée par Mateusz Jurczyk met en évidence les dangers de la fausse immuabilité des fichiers dans les systèmes d'exploitation. vous pouvez retrouver l'analyse complète sur cette page.
Quels sont les risques ?
Les cybercriminels peuvent utiliser le code d'exploitation PoC disponible pour cette vulnérabilité pour mettre au point leur propre exploit et l'utiliser dans le cadre d'attaques. Il est donc important de prendre connaissance de l'existence de ce PoC, notamment si l'on a du retard dans l'application des mises à jour Windows.
Les utilisateurs et les entreprises sont vivement encouragés à appliquer le correctif afin de limiter les risques d'exploitation. Si vous avez déjà installé les mises à jour de novembre ou décembre 2024, alors vos machines sont protégées.
