Une vulnérabilité zero-day d'escalade des privilèges locaux de Windows que Microsoft n'a pas réussi à corriger complètement depuis plusieurs mois, permet aux utilisateurs d'obtenir des privilèges administratifs dans Windows 10, Windows 11 et Windows Server.

La particularité de cette vulnérabilité, répertoriée sous le nom de CVE-2021-34484 avec un score de 7,8, réside dans le fait que Microsoft n'a pas été en mesure de corriger la faille depuis sa découverte l'été dernier et qu'elle a marqué le bogue comme étant corrigé à deux reprises.

Bien que des exploits aient été publiquement divulgués dans le passé, on ne pense pas qu'ils soient activement exploités dans la nature.

La vulnérabilité a été découverte par le chercheur en sécurité Abdelhamid Naceri et divulguée à Microsoft, qui l'a corrigée dans le cadre du Patch Tuesday d'août 2021.

Peu après la publication de la correction, Naceri a remarqué que le correctif de Microsoft était incomplet et a présenté une preuve de concept (PoC) qui le contourne sur toutes les versions de Windows.

L'équipe 0patch, qui fournit des correctifs pour les versions abandonnées de Windows et certaines vulnérabilités que Microsoft ne veut pas corriger, est intervenue à ce moment-là, en publiant une mise à jour de sécurité non officielle pour toutes les versions de Windows et en la mettant gratuitement à la disposition de tous les utilisateurs enregistrés.

Microsoft a également répondu à ce contournement par une deuxième mise à jour de sécurité publiée avec le Patch Tuesday du 2022 janvier, donnant au contournement un nouvel ID de suivi en tant que CVE-2022-21919 et le marquant comme corrigé. Cependant, Naceri a trouvé un moyen de contourner ce correctif tout en commentant que cette tentative était pire que la première.

En testant son correctif contre le deuxième contournement du chercheur, 0patch a constaté que son correctif pour la DLL "profext.dll" protégeait toujours les utilisateurs contre la nouvelle méthode d'exploitation, permettant ainsi à ces systèmes de rester sécurisés.

Cependant, la deuxième tentative de correction de Microsoft a remplacé le fichier "profext.dll", ce qui a conduit à la suppression de la correction non officielle pour tous ceux qui avaient appliqué les mises à jour Windows de janvier 2022.

0patch a maintenant porté le correctif pour qu'il fonctionne avec les mises à jour du Patch Tuesday de mars 2022 et l'a mis gratuitement à la disposition de tous les utilisateurs enregistrés.

Les versions de Windows qui peuvent bénéficier du nouveau micro-patch sont les suivantes :

· Windows 10 v21H1 (32 et 64 bits) mis à jour avec les mises à jour de mars 2022.

· Windows 10 v20H2 (32 & 64 bit) mis à jour avec les mises à jour de mars 2022

· Windows 10 v1909 (32 & 64 bit) mis à jour avec les mises à jour de mars 2022

· Windows Server 2019 64 bit mis à jour avec les mises à jour de mars 2022

Il convient de noter que Windows 10 1803, Windows 10 1809 et Windows 10 2004 sont toujours protégés par le correctif original de 0patch, car ces appareils ont atteint la fin du support et n'ont pas reçu la mise à jour de Microsoft qui a remplacé la DLL.

Le micropatch restera disponible en téléchargement gratuit pour les utilisateurs des versions de Windows susmentionnées tant que Microsoft n'aura pas publié un correctif complet pour le problème LPE particulier et tous ses contournements.