Ce mois-ci, Microsoft corrige 81 vulnérabilités, dont 3 sont critiques et une est exploitée par des attaquants. C’est une élévation de privilèges dans win32k.sys.

Un autre défaut dans la file d’attente d’impression et un autre dans Exchange, les plus importants maux de tête actuels de l’entreprise, ont été corrigés sans trop de détails.

Le bug d’élévation (CVE-2021-40449) est curieux. Ils ont basé l’exploit sur un autre datant de 2016. Il est entièrement conçu pour fonctionner sur des serveurs (ce qui dénote un certain professionnalisme). Il s’agit d’une exploitation libre de l’utilisateur dans la fonction NtGdiResetDC du pilote. La technique est typique de l’élévation, un callback est défini sur la fonction en mode utilisateur, mais au moment de l’appel du pilote et au milieu de l’exécution, la fonction est appelée à nouveau et l’espace mémoire est occupé par une fonction noyau arbitraire à exécuter dans le contexte du noyau.

Les attaquants ont installé un outil que Kaspersky appelle MysterySnail RAT pour contrôler le système.

Plus d’information:
https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/