[malware] Failles locales : sans les mains !

Je suis toujours un peu surpris de voir comment sont considérées les vulnérabilités dites "locales" lorsqu'elles touchent des produits grand public (genre Windows). Dernier exemple en date : la faille sur le pilote SECDRV.SYS (une 0-day au passage). D'après le bulletin Microsoft :

An attacker must have logon permissions to the operating system to exploit this vulnerability.

De même sur le blog de Symantec, on note la phrase suivante :

The attacker has to be logged on to the computer with an account.

So what ? Ai-je vraiment besoin de posséder un identifiant et un mot de passe valides sur le système visé pour exploiter cette vulnérabilité ? Réponse : bah non. Ce n'est pas une condition nécessaire. Pour les failles "locales", la criticité n'est pas la même selon que le système cible soit un serveur, auquel cas, oui, j'en aurai besoin (sauf ingénierie sociale sur l'admin :) ou une station de travail, une interaction avec un utilisateur peu regardant sur la sécurité étant possible. Dans ce dernier cas, il suffit au choix de :

1. faire une combinaison avec une autre faille me permettant d'exécuter du code avec des droits standard, afin d'élever mes privilèges pour pouvoir en exécuter avec les droits SYSTEM (par exemple la faille récente sur les produits Adobe), comme le propose d'ailleurs le blog de Symantec
2. inciter l'utilisateur à télécharger puis exécuter lui-même le code d'exploitation

Ce dernier point peut prêter à sourire, mais quand on voit qu'un ver comme Storm s'est propagé par du spam contenant un fichier MA_SUPER_VIDEO.MPG.exe, le tout à la vitesse de l'éclair, ça fait quand même réfléchir...