Windows 10 est victime d’une importante faille de sécurité. Dévoilée par Microsoft elle permet une élévation de privilèges en local. Pour le moment aucun correctif n’est disponible mais une solution de contournement existe.
Un défaut de sécurité touche Windows 10. Microsoft a pris la parole autour d’une nouvelle vulnérabilité zero-day. Elle a été signalée sur Twitter par le chercheur en sécurité Jonas Lykkegaard. Exploitée par un pirate elle permet une élévation des privilèges en local afin d’accéder à des données sensibles.
Cette faille porte le nom de SeriousSAM. Elle est répertoriée par le géant du logiciel son appellation CVE-2021-36934. Le problème touche « des contrôles d’accès trop laxistes sur plusieurs fichiers système » dont la base de données du gestionnaire des comptes de sécurité.
Son exploitation donne un accès à certains fichiers sensibles réservés normalement qu’aux administrateurs. Mieux il devient possible d’exécuter un code arbitraire via des privilèges élevés. Dans ces conditions la situation peut devenir dangereuse puisqu’une personne malveillante peut obtenir un accès étendu aux données d’un ordinateur. En clair elle peut lire, modifier et supprimer des données.
Satnam Narang, ingénieur de recherche chez Tenable explique
“La vulnérabilité zero-day d’élévation de privilèges de Windows (CVE-2021-36934), appelée HiveNightmare ou SeriousSAM par les chercheurs en sécurité affecte certaines versions de Windows 10. Elle permet aux utilisateurs non administrateurs de lire des fichiers sensibles qui sont normalement réservés aux administrateurs. “
Windows 10 et 11 et la faille SeriousSAM, solution
A noter qu’une condition est nécessaire puisque le VSS doit être disponible. Le VSS est la contraction de Volume Shadow Copy.
A ce sujet Satnam Narang ajoute
“La vulnérabilité zero-day d’élévation de privilèges de Windows (CVE-2021-36934), appelée HiveNightmare ou SeriousSAM par les chercheurs en sécurité affecte certaines versions de Windows 10. Elle permet aux utilisateurs non administrateurs de lire des fichiers sensibles qui sont normalement réservés aux administrateurs.
Pour exploiter la faille, le Volume Shadow Copy Service (VSS) doit être disponible. Les chercheurs ont souligné que si la taille du disque système est supérieure à 128 gigaoctets, la shadow copy VSS sera créée automatiquement lorsqu’une mise à jour de Windows ou un fichier MSI est installé. Les utilisateurs peuvent vérifier si les shadow copy VSS existent ou non en exécutant une commande spécifique sur leur système. L’exploitation réussie de cette faille donnerait à un attaquant local la possibilité d’élever ses privilèges, de collecter des mots de passe et des clés informatiques ainsi que d’accéder à un compte d’ordinateur afin d’effectuer une attaque de type “silver ticket”.”
Selon Microsoft aucune attaque connue exploite cette défaillance. Cependant son exploitation est probable. Le géant propose une solution de contournement en attendant la publication d’un correctif. Elle passe par deux étapes.
La première consiste à renforcer la sécurité autour des données situées à cette adresse
Windows > system32> config
Pour ce faire il faut exécuter une ligne de commande soit via l’ Invite de de commande (à exécuter en mode administrateur)
icacls %windir%\system32\config\*.* /inheritance:e
ou le Windows PowerShell (à exécuter en mode administrateur)
icacls $env:windir\system32\config\*.* /inheritance:e
La deuxième étape passe par la suppression de tous les points de restauration système et volumes Shadow puis de créer un nouveau point de restauration système. Nous n’avons aucun calendrier de publication concernant l’arrivée du patch.
Attention Microsoft explique
“La suppression des clichés instantanés peut avoir un impact sur les opérations de restauration, y compris la possibilité de restaurer des données avec des applications de sauvegarde tierces.”
Cette défaillance touche
- Windows Server 20H2 (Server Core installation), Server 2004 (Server Core installation), Server 2019 (Server Core installation) et Server 2019,
- Windows 10 20H2, 20H1, 1909 et 1809 (ARM64, 32 et 64-bit).
Cette faille est-elle valable sous Windows 7 ?
Vraisemblablement oui.
https://docs.microsoft.com/fr-fr/windows-server/storage/file-server/volume-shadow-copy-service
J’ai absolument rien compris et visiblement le gestionnaire de comptes touché par cette faille ne me concerne pas.