Vulnérabilité dans la fonction Windows Search avec risque d’exécution de code malveillant

Référence : CVE-2017-8620
Version : 1.0
Logiciel affecté : Toutes les versions de Windows encore supportées (7, 8.1, 10, RT 8.1, Server 2008, 2012, 2016)
Type : Exécution de code malveillant à distance

Sources

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2...
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8620

Risques

L’exploitation fructueuse de ces vulnérabilités permettrait à un acteur malveillant d’exécuter du code malveillant à distance au travers du service Windows Search. Cela pourrait donc permettre de prendre le contrôle du système affecté.

Résumé

Une vulnérabilité permettant d’exécuter du code à distance existe à cause de la manière dont le service Windows Search gère les objets en mémoire. Un acteur malveillant qui réussirait à exploiter cette vulnérabilité pourrait donc prendre le contrôle du système affecté. Il pourrait alors installer des programmes ; consulter, modifier ou supprimer des données ou encore créer de nouveaux comptes avec privilèges élevés.
Afin d’exploiter concrètement cette vulnérabilité, l’acteur malveillant pourrait donc envoyer des messages spécialement forgés au service Windows Search. L’acteur en question, s’il a accès à la machine cible pourrait alors exploiter cette vulnérabilité pour élever ses privilèges et prendre le contrôle de la machine. De plus, dans un contexte d’entreprise, un acteur malveillant non-identifié par le système pourrait utiliser cette vulnérabilité au travers d’une connexion SMB.
La mise à jour de sécurité corrige la façon dont Windows Search gère les objets en mémoire.

Actions préconisées

Mettre les systèmes à jour grâce aux patches fournis par Microsoft : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2...

Solutions Temporaires

1) Désactiver le service Windows Search (cf. HowTo à la fin de la page suivante) : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2...

2) Bloquer les connexions SMB entrantes et sortantes du réseau interne au niveau du/des pare-feu(x).

Article sur CERT.be