Les détails d’une faille de sécurité zero-day mal corrigée au niveau de l’API du Spooler d’impression Windows ont été publiés par l’équipe Project Zero de Google. Ce bug pourrait être exploité par un pirate afin d’exécuter du code arbitraire. Google a révélé les détails de cette faille non corrigée après que Microsoft ait omis de la corriger dans les 3 mois suivant la divulgation responsable le 24 Septembre dernier.

La faille a d’abord été référencée CVE-2020-0986 et concerne une élévation de privilèges dans l’API GDI Print/Print Spooler (« splwow64.exe ») qui a été signalée à Microsoft par un utilisateur anonyme travaillant avec la Zero Day Initiative (ZDI). Aucun patch n’a été publié pendant environ six mois, et ZDI a fini par publier un avis public comme zero day qui a été exploité dans la nature dans une campagne appelée « Operation PowerFall ».

Un pirate qui réussit une exploitation de cette faille pourra manipuler la mémoire du processus « splwow64.exe » pour exécuter du code arbitraire en mode noyau, l’utilisant finalement afin d’installer des programmes malveillants, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec tous les droits d’utilisateur. Néanmoins, afin d’y arriver, l’adversaire devrait d’abord se connecter au système cible en question. Il est vrai que Microsoft ait fini par corriger ce bug dans le cadre de sa mise à jour Patch Tuesday du mois de juin, mais de récentes découvertes de l’équipe de sécurité de Google révèlent que la faille n’a pas été entièrement corrigée. Microsoft devra résoudre la faille d’élévation de privilèges récemment signalée, identifiée comme CVE-2020-17008, le 12 Janvier 2021, à cause de « problèmes repérés lors des tests ». Stone a également partagé un code d'exploitation de preuve de concept (PoC) pour CVE-2020-17008, basé sur un POC publié par Kaspersky pour CVE-2020-0986.