Microsoft partage une solution de contournement pour la faille SeriousSAM de Windows 10

0

Microsoft a partagé une solution de contournement pour une vulnérabilité zero-day de Windows 10 (surnommée SeriousSAM) qui peut permettre aux attaquants d’obtenir des droits d’administrateur sur les systèmes vulnérables et d’exécuter du code arbitraire avec les privilèges SYSTEM.

Comme il a été signalé précédemment, un bogue d’élévation locale des privilèges trouvé dans les versions récentes de Windows permet aux utilisateurs disposant de faibles privilèges d’accéder aux fichiers sensibles de la base de données du Registre.

Affecte les versions de Windows 10 publiées depuis 2018

La faille de sécurité, divulguée publiquement par le chercheur en sécurité Jonas Lykkegaard sur Twitter et qui n’a pas encore reçu de correctif officiel, est désormais suivie par Microsoft sous l’identifiant CVE-2021-36934.

« Une vulnérabilité d’élévation des privilèges existe en raison de listes de contrôle d’accès (ACL) trop permissives sur plusieurs fichiers système, y compris la base de données Security Accounts Manager (SAM) », explique Microsoft dans un avis de sécurité publié la semaine dernière.

« Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes avec des droits d’utilisateur complets. Un attaquant doit avoir la capacité d’exécuter du code sur un système victime pour exploiter cette vulnérabilité. »

Comme Microsoft l’a en outre révélé, cette vulnérabilité zero-day affecte toutes les versions de client et de serveur Windows publiées au cours des trois dernières années, depuis octobre 2018, à commencer par Windows 10 1809 et Windows Server 2019.

Lykkegaard a également constaté que Windows 11 (système d’exploitation de Microsoft qui n’est pas encore officiellement publié) est également affecté.

Solution de contournement maintenant disponible

Les bases de données exposées à l’accès des utilisateurs par ce bogue (c’est-à-dire SYSTEM, SECURITY, SAM, DEFAULT et SOFTWARE) sont stockées dans le dossier C:\Windows\system32\config.

Le créateur de Mimikatz, Benjamin Delpy, a déclaré que n’importe qui pouvait facilement profiter des autorisations de fichier incorrectes pour voler le mot de passe haché NTLM d’un compte élevé et obtenir des privilèges plus élevés via une attaque pass-the-hash.

Bien que les attaquants ne puissent pas accéder directement aux bases de données en raison de violations d’accès déclenchées par les fichiers toujours utilisés par le système d’exploitation, ils peuvent y accéder via des clichés instantanés de volume(shadow volume copies).

Microsoft recommande de restreindre l’accès au dossier problématique ET de supprimer les clichés instantanés du service de cliché instantané des volumes (VSS) pour atténuer ce problème.

Les utilisateurs doivent savoir que la suppression des clichés instantanés de leurs systèmes peut avoir un impact sur les opérations de restauration du système et des fichiers, telles que la restauration de données à l’aide d’applications de sauvegarde tierces.

Voici les étapes nécessaires pour bloquer temporairement l’exploitation de cette vulnérabilité:

Restreindre l’accès au contenu de %windir%\system32\config :

1. Ouvrez l’invite de commande ou Windows PowerShell en tant qu’administrateur.

2. Exécutez cette commande :

Invite de commandes (exécuter en tant qu’administrateur) : icacls %windir%\system32\config\*.* /inheritance:e

Windows PowerShell (Exécuter en tant qu’administrateur) : icacls $env:windir\system32\config\*.* /inheritance:e

Supprimez les clichés instantanés du service de cliché instantané des volumes (VSS) :

1. Supprimez tous les points de restauration système et les volumes Shadow qui existaient avant de restreindre l’accès à %windir%\system32\config.

2. Créez un nouveau point de restauration système (si vous le souhaitez).

Des informations supplémentaires sur la façon de supprimer les clichés instantanés sont disponibles dans le document d’assistance « KB5005357-Supprimer les clichés instantanés de volume« .

Microsoft enquête toujours sur la vulnérabilité et travaille sur un correctif qui sera très probablement publié en tant que mise à jour de sécurité hors bande bientôt.

« Nous enquêtons et prendrons les mesures appropriées si nécessaire pour aider à protéger les clients », a déclaré Microsoft.

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire