En novembre, Microsoft a corrigé une élévation de privilèges dans le programme d’installation. CVE-2021-41379. Mais ça a mal tourné. Le découvreur lui-même a publié un exploit capable de contourner le correctif et d’élever à nouveau les privilèges grâce à une faille dans le système d’installation des MSI. Et il fonctionne mieux que le précédent, même. Pour l’instant, il n’y a pas de correctif et il n’est pas facile de penser à une contre-mesure, comme le souligne l’auteur lui-même.

Le POC écrase les permissions du service d’élévation Edge (car Edge fonctionne avec très peu de privilèges, mais pour certaines opérations, il doit s’élever). Une fois écrasé, il y copie un programme et parvient à se lancer.

On se demande toutefois pourquoi le découvreur qui signale le bug précédent de manière responsable, lance-t-il l’exploit sans avertissement ? Depuis avril 2020, les chercheurs considèrent que la politique de primes aux bugs de Microsoft est très médiocre et laisse beaucoup à désirer. Ils paient de moins en moins à chaque fois.

Plus d’information:
https://github.com/klinix5/InstallerFileTakeOver