Microsoft vient d'annoncer avoir découvert une faille majeure dans les services de jeu Xbox, une mise à jour doit rectifier le tir et ainsi protéger les utilisateurs.
Tous les constructeurs sont touchés par ce genre de failles de sécurité, récemment nous avons vu le PlayStation Store être inutilisable, ou bien encore Nintendo il y a quelques mois qui subissait ENLBufferPwn, en publiant de nombreux correctifs pour chaque jeu en ligne.
Là aussi cette vulnérabilité pourrait permettre à un pirate d'accéder à des parties protégées du code Microsoft, la firme de Redmond informe qu'une faille de sécurité a été détectée dans les services de jeu Xbox le 20 Mars 2024.
Selon les dire de Microsoft " Un programme parviendrait à exploiter cette vulnérabilité pour obtenir des privilèges système " sans en dire davantage si ce n'est qu'il s'agit de la CVE-2024-28916, par contre cette faille touche l'ensemble des applications Xbox, Xbox Family Settings ou celles du Game Pass sur PC, console et mobile.
Quels privilèges pourrait-il obtenir s’il parvenait à exploiter cette vulnérabilité ?
- Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges système.
Selon les métriques CVSS, le vecteur d’attaque est local (AV:L) et les privilèges requis sont faibles (PR:L). Quelles sont les répercussions de cette vulnérabilité ?
- Un attaquant doit disposer d’un accès local à l’ordinateur ciblé et doit être en mesure de créer des dossiers et des traces de performance sur l’ordinateur, avec des privilèges restreints attribués par défaut à tous les utilisateurs.
Comment obtenir l'application de mise à jour ?
- Le Microsoft Store mettra automatiquement à jour les clients concernés. Les clients peuvent également obtenir la mise à jour immédiatement ; voir ici pour des informations sur les applications installées sur votre appareil.
- Il est possible de désactiver les mises à jour automatiques du Microsoft Store. Le Microsoft Store n'installera pas automatiquement cette mise à jour pour ces clients.
- Si vous souhaitez obtenir des mises à jour immédiatement, ou si les mises à jour automatiques ne sont pas activées, sélectionnez Obtenir des mises à jour. Vous pouvez ensuite mettre à jour les applications individuellement en sélectionnant Mettre à jour pour chaque application, ou vous pouvez sélectionner Mettre à jour tout pour installer toutes les mises à jour. Nous vous recommandons de sélectionner Mettre à jour toutes les applications afin de rester protégé.
- Les clients qui utilisent le Microsoft Store for Business et le Microsoft Store for Education peuvent obtenir cette mise à jour par l'intermédiaire de leur organisation.
Comment puis-je vérifier si la mise à jour est installée ?
Les versions 19.87.13001.0 et ultérieures du paquet d'applications de ses services de jeu contiennent cette mise à jour.
Vous pouvez vérifier la version du paquet dans PowerShell :
get-appxpackage Microsoft.GamingServices
Selon les métriques CVSS, une exploitation réussie pourrait provoquer un changement d’étendue (S:C). De quoi s’agit-il pour cette vulnérabilité ?
Une vulnérabilité exploitée peut toucher les ressources en dehors de l’étendue de sécurité gérée par l’autorité de sécurité du composant vulnérable. Dans ce cas, le composant vulnérable et le composant impacté sont différents et gérés par des autorités de sécurité distinctes.
Tout est là pour le côté Microsoft : CVE-2024-28916
Côté développeur, c'est Wh04m1001, Filip Dragovich, a qui l'on doit tout ce travail impressionnant. Il a dévoilé une vidéo de démonstration sur son profil Github, il propose régulièrement des failles, et celle là marquera les esprits.
Tout est là : Wh04m1001/GamingServiceEoP
Merci The-return pour l'info