Une faille de PSExec a été patchée par Microsoft

0

Microsoft a corrigé une vulnérabilité dans l’utilitaire PsExec. Cette faille de sécurité permet aux utilisateurs locaux d’obtenir des privilèges plus élevés sur les appareils Windows.

PsExec est un utilitaire Sysinternals conçu pour permettre aux administrateurs d’effectuer diverses activités sur des ordinateurs distants, tels que le lancement d’exécutables et l’affichage de la sortie sur l’ordinateur local ou la création de shells inversés.

En raison de la polyvalence de l’outil, les pirates informatiques utilisent couramment PsExec dans leurs trousses d’outils post-exploitation pour se propager latéralement sur d’autres machines sur un réseau, exécuter des commandes sur un grand nombre d’appareils simultanément, ou déployer des logiciels malveillants tels que des ransomwares.

En Décembre 2020, David Wells, chercheur chez Tenable, a découvert une vulnérabilité dans les communications de PsExec qui permettent aux utilisateurs locaux d’élever leurs privilèges au niveau SYSTEM.

« Cette élévation des privilèges locaux permet à un processus non-admin de s’élever à SYSTEM si PsExec est exécuté localement ou à distance sur la machine cible. J’ai été en mesure de confirmer que cela fonctionne de Windows 10 à Windows XP et selon mes trouvailles, cela affecte PsExec v2.2 (dernier en date lors de l’écriture de cet article) et remonte jusqu’ la version v1,72 (2006) », a expliqué Wells.

Après avoir signalé la vulnérabilité, Wells a donné à Microsoft 90 jours pour corriger la vulnérabilité, et quand Microsoft ne l’a pas patché, il a révélé la faille et a publié une preuve de concept complète de son travail.

Microsoft sort un patch pour la vulnérabilité de PSExec

Après que la vulnérabilité ait été rendue publique, Microsoft a publié la version 2.30 pour adresser la vulnérabilité. Toutefois, Wells a déclaré que des ajustements mineurs à sa preuve de concept pourrait contourner le correctif.

« Il ya eu de nouvelles versions de PsExec déployé en 2021 (v2.30 et v2.32), nous avons confirmé qu’elles sont également vulnérables à cette élévation de privilège local avec des ajustements mineurs à la preuve de concept, » a averti Wells.

Le 23 Mars, Microsoft a déployé PsExec v2.33, qui inclut un nouveau correctif pour la vulnérabilité d’élévation de privilège local.

« Cette mise à jour de PsExec atténue les attaques de squattage de tuyaux qui peuvent être exploitées par un attaquant pour intercepter les informations d’identification ou passer au privilège SYSTEM. le commutateur de ligne de commande -i est maintenant nécessaire pour exécuter les processus de manière interactive, par exemple avec des entrées-sorties redirigées », peut-on lire dans les notes de version de v2.33.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.