Une faille 0-day déjoue une protection phare de Windows

Une vulnérabilité non corrigée a été découverte sur les protections UAC (User Account Control) qui demandent à l'utilisateur de confirmer certains téléchargements.

Présent dans les OS Windows depuis Vista, l'UAC voulait prévenir le téléchargement de logiciels non désirés et donc potentiellement malveillants en limitant les droits des utilisateurs. Ironie : cette protection dispose d'une vulnérabilité non corrigée permettant de la contourner. Un code d'attaque a été publié et sa faisabilité confirmée pour Vista, Windows 7 et Server 2008.

Si la faille permet à un non-administrateur d'agir comme s'il en était un, le pirate a néanmoins besoin d'un accès local pour exploiter la vulnérabilité. Ce n'est qu'une fois la machine déjà compromise que cette nouvelle vulnérabilité peut être dangereusement exploitée. Mais pour Marco Giuliani, chercheur chez l'expert en sécurité Prevx, la dangerosité de la situation pourrait devenir "cauchemardesque". Microsoft a "pris en compte la vulnérabilité", mais n'a pas annoncé de correctif avant le prochain régulier Patch Tuesday, prévu le mardi 14 décembre.