Une vulnérabilité de Windows 10 permet d’obtenir des privilèges d’administrateur

0

Windows 10 et Windows 11 sont vulnérables à une faille d’élévation locale des privilèges après que des chercheurs aient découvert que les utilisateurs avec de faibles privilèges peuvent accéder aux fichiers sensibles de la base de données du Registre.

Le registre Windows sert de référentiel de configuration pour le système d’exploitation Windows et contient des mots de passe hachés, des personnalisations d’utilisateur, des options de configuration pour les applications, des clés de déchiffrement du système, etc.

Les fichiers de base de données associés au registre Windows sont stockés dans le dossier C:\Windows\system32\config et sont divisés en différents fichiers tels que SYSTEM, SECURITY, SAM, DEFAULT et SOFTWARE.

Étant donné que ces fichiers contiennent des informations sensibles sur tous les comptes d’utilisateurs sur un appareil et des jetons de sécurité utilisés par les fonctionnalités de Windows, ils ne doivent pas être consultés par des utilisateurs normaux sans privilèges élevés.

Cela est particulièrement vrai pour le fichier Security Account Manager (SAM) car il contient les mots de passe hachés pour tous les utilisateurs d’un système, que les individus malveillants peuvent utiliser pour assumer leur identité.

Le fichier SAM peut être lu par n’importe qui

Le chercheur en sécurité Jonas Lykkegaard a déclaré qu’il avait découvert que les fichiers du registre Windows 10 et Windows 11 associés au gestionnaire de compte de sécurité (SAM) et toutes les autres bases de données du registre étaient accessibles au groupe « Utilisateurs » qui dispose de faibles privilèges sur un appareil.

Ces faibles autorisations ont été confirmées sur un appareil Windows 10 20H2 entièrement corrigé, comme indiqué ci-dessous.

windows 10
Autorisations sur le fichier SAM

Avec ces faibles autorisations de fichiers, un individu malveillant disposant de privilèges limités sur un appareil peut extraire les mots de passe hachés NTLM pour tous les comptes sur un appareil et utiliser ces hachages dans des attaques pass-the-hash pour obtenir des privilèges élevés.

Comme les fichiers du Registre, tels que le fichier SAM, sont toujours utilisés par le système d’exploitation, lorsque vous essayez d’accéder au fichier, vous recevez une violation d’accès car les fichiers sont ouverts et verrouillés par un autre programme.

sam windows 10
Impossible d’accéder au fichier SAM ouvert

Cependant, comme les fichiers du registre, y compris le SAM, sont généralement sauvegardés par les clichés instantanés des volumes Windows, Lykkegaard indique que vous pouvez accéder aux fichiers via les volumes instantanés sans violation d’accès.

Par exemple, les individus malveillants peuvent utiliser le chemin d’espace de noms de périphérique Win32 suivant pour les clichés instantanés de volume ci-dessous afin d’accéder au fichier SAM par n’importe quel utilisateur sur l’ordinateur.

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM

En utilisant ces autorisations de fichiers faibles et incorrectes, ainsi que des shadow volume copies des fichiers, Benjamin Delpy, chercheur en sécurité et créateur de Mimikatz, a déclaré que vous pouviez facilement voler le mot de passe haché NTLM d’un compte élevé pour obtenir des privilèges plus élevés.

Cette attaque est illustrée dans la vidéo ci-dessous créée par Delpy qui montre Mimikatz utilisant un hachage NTLM pour obtenir des privilèges de débogage.

En plus de voler les hachages NTLM et d’élever les privilèges, Delpy a déclaré que cet accès à faible privilège pourrait permettre d’autres attaques, telles que les attaques Silver Ticket.

On ne sait pas pourquoi Microsoft a modifié les autorisations sur le registre pour permettre aux utilisateurs réguliers de lire les fichiers.

Cependant, Will Dormann, un analyste des vulnérabilités pour CERT/CC, et l’auteur de SANS, Jeff McJunkin, ont déclaré que Microsoft avait introduit les modifications d’autorisation dans Windows 10 1809.

Curieusement, Dormann a déclaré que lors de l’installation d’une nouvelle version de Windows 10 20H2 à partir de Juin, ces autorisations n’étaient pas présentes.

Par conséquent, il n’est pas clair si Microsoft a résolu le problème d’autorisation lors de l’exécution d’une installation fraîche de Windows mais ne l’a pas corrigé lors de la mise à niveau vers de nouvelles versions.

Pour vérifier si votre installation de Windows 10 ou Windows 11 est affectée, vous pouvez ouvrir une invite de commande et saisir la commande suivante:

icacls c:\windows\system32\config\sam

Si la sortie affiche l’autorisation suivante, votre installation Windows est affectée par la vulnérabilité.

BUILTIN\Users:(I)(RX)

Heureusement, Microsoft a partagé un correctif temporaire pour la vulnérabilité décrite dans la section suivante,

Microsoft confirme la vulnérabilité

Dans un avis de sécurité publié récemment, Microsoft a confirmé la vulnérabilité et la suit désormais sous l’identifiant CVE-2021-36934.

« Nous enquêtons et prendrons les mesures appropriées si nécessaire pour aider à protéger les clients », a déclaré Microsoft.

Les chercheurs en sécurité appellent également cette vulnérabilité « SeriousSAM » ou « HiveNightmare ».

Dans l’avis, Microsoft a partagé des atténuations qui restreignent les autorisations sur le dossier C:\Windows\system32\config.

Pour bloquer temporairement l’exploitation de cette vulnérabilité, vous devez suivre les étapes suivantes:

Restreindre l’accès au contenu de %windir%\system32\config:

1. Ouvrez l’invite de commande ou Windows PowerShell en tant qu’administrateur.

2.Exécutez cette commande : icacls %windir%\system32\config\*.* /inheritance:e

Supprimez les clichés instantanés du service de cliché instantané des volumes (VSS):

1. Supprimez tous les points de restauration système et les volumes Shadow qui existaient avant de restreindre l’accès à %windir%\system32\config.

2. Créez un nouveau point de restauration système (si vous le souhaitez).

Si ce article vous a plu, jetez un coup d’œil à nos bons plans.

Laisser un commentaire