Une nouvelle vulnérabilité a été découverte dans Windows 10, Windows 11 et Windows Server, qui permet d’élever les privilèges locaux et d’obtenir des droits d’administrateur. Un exploit pour celle-ci a déjà été publié sur le Web, à l’aide duquel les attaquants qui ont déjà piraté le système, mais ont un accès limité, peuvent prendre le contrôle total de l’appareil. La vulnérabilité affecte toutes les versions de Windows actuellement prises en charge.
Dans le cadre du Patch Tuesday November 2021, Microsoft a corrigé une vulnérabilité d’élévation de privilèges de Windows Installer connue sous le nom de CVE-2021-41379. Cette vulnérabilité a été découverte par le chercheur en sécurité Abdelhamid Naceri, qui a trouvé une solution de contournement pour le correctif fourni et une nouvelle vulnérabilité d’élévation de privilèges zero-day plus puissante après avoir examiné un correctif publié par Microsoft. Naceri a publié hier sur GitHub un exploit expérimental fonctionnel pour la nouvelle vulnérabilité, expliquant qu’il fonctionne sur toutes les versions de Windows prises en charge.
En outre, Naceri explique que si la politique de groupe peut obtenir une configuration pour empêcher les utilisateurs ayant des privilèges de base d’utiliser Windows Installer (MSI), la nouvelle vulnérabilité contourne cette politique et fonctionnera de toute façon. BleepingComputer a testé l’exploit InstallerFileTakeOver ; et a constaté qu’il ne lui a fallu que quelques secondes pour obtenir des privilèges de niveau SYSTEM à partir d’un compte de test ; avec des privilèges Standard. Le test a été effectué sur Windows 10 21H1 avec le numéro de build 19043.1348.
Naceri a déclaré qu’il avait divulgué publiquement la vulnérabilité de type « zero-day » en raison de sa déception face à la diminution du programme de primes pour les bugs logiciels de Microsoft. La société de Redmond n’a fait aucun commentaire sur la situation. Il est probable que la vulnérabilité sera corrigée lors de la publication de la mise à jour du prochain patch Tuesday.
Microsoft continuera à mettre à jour Windows 10 une fois par an
Microsoft a annoncé le début de la distribution de la mise à jour Windows 10 November 2021 Update (21H2). Dans le même temps, les développeurs ont annoncé qu’à l’avenir, la plateforme logicielle recevra des mises à jour majeures une fois par an. La livraison des mises à jour de Windows 11 est disponible de manière similaire. Ainsi, la prochaine mise à jour majeure de Windows 10 ne sera publiée que dans la seconde moitié de 2022, et non plus en mai-juin, comme c’était le cas auparavant.
« Nous passons à un nouveau calendrier de mise à jour de Windows 10 pour suivre le rythme de Windows 11 ; qui se concentre sur l’obtention de mises à jour fonctionnelles chaque année. La prochaine mise à jour fonctionnelle de Windows 10 sera lancée au cours du deuxième semestre de 2022. Nous continuerons à prendre en charge au moins une version de Windows 10 jusqu’au 14 octobre 2025 », a déclaré Microsoft dans un communiqué.
Bien que les principaux plans de Microsoft soient liés à Windows 11, le géant du logiciel publiera des mises à jour fonctionnelles pour la version précédente de la plateforme pendant longtemps encore. Le passage à une publication annuelle des mises à jour fonctionnelles sera une bonne nouvelle pour les entreprises clientes, qui doivent tester la compatibilité des paquets publiés par Microsoft avec leur matériel avant de les installer sur les appareils des utilisateurs. Ce changement donnera également beaucoup plus de temps pour tester les mises à jour dans le cadre du programme Insider, ce qui permettra à Microsoft de corriger autant de bogues que possible avant que les mises à jour ne soient diffusées au public.
