Une nouvelle vulnérabilité zero-day a été décelée dans diverses versions de Windows 10.
C'est une nouvelle tuile pour Windows 10. Plusieurs versions du système d'exploitation présentent une vulnérabilité d'élévation des privilèges, une faille zero-day de sécurité dévoilée par Microsoft le mardi 20 juillet. Celle-ci permet à un utilisateur qui n'est pas administrateur de lire des fichiers sensibles justement réservés aux administrateurs. Pour l'instant, Microsoft ne propose pas de correctif au public, mais seulement une « solution de contournement ».
Une faille qui entraîne une élévation des privilèges pouvant avoir d'importantes conséquences
Après PrintNightmare, voici HiveNightmare, ou SeriousSAM. Surnommée ainsi par les chercheurs (c'est plus sexy que son nom de code CVE-2021-36934), cette vulnérabilité de type zero-day (une faille non-résolue qui prend par surprise les développeurs) consiste en une élévation des privilèges liés à des listes de contrôle d'accès trop permissives sur plusieurs fichiers système, y compris la SAM, la base de données du gestionnaire des comptes de sécurité.
Satnam Narang, ingénieur de recherche chez Tenable, nous explique plus simplement que la vulnérabilité « permet aux utilisateurs non administrateurs de lire des fichiers sensibles qui sont normalement réservés aux administrateurs ». Microsoft, de son côté, précise que si un individu malveillant parvient à exploiter cette faille, il pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Autant dire que l'attaquant aurait toute la liberté d'installer des programmes, d'afficher, de modifier, de prélever ou de supprimer des données sur et de votre ordinateur. Sans oublier qu'il pourrait carrément créer un nouveau compte, en s'octroyant tous les droits d'utilisateur.
« Pour exploiter la faille, le Volume Shadow Copy Service (Ndlr : VSS, service qui permet les sauvegardes auto ou manuelles) doit être disponible » poursuit Satnam Narang. « Les chercheurs ont souligné que si la taille du disque système est supérieure à 128 Go, la shadow copy VSS sera créée automatiquement lorsqu'une mise à jour de Windows ou un fichier MSI est installé. Les utilisateurs peuvent vérifier si les shadow copy VSS existent ou non en exécutant une commande spécifique sur leur système. »
Pas encore de correctif, mais une mesure d'atténuation proposée par Microsoft
Microsoft n'a pour l'instant pas publié de correctif. En revanche, la firme à la fenêtre propose aux utilisateurs des solutions de contournement. D'abord, Microsoft conseille de restreindre l'accès au contenu de l'adresse « %windir%\system32\config », en exécutant la commande « icacls %windir%\system32\config\*.* /inheritance:e » via l'invite de commande ou Windows PowerShell.
Ensuite, il est conseillé de supprimer les clichés instantanés (aussi connus sous le nom de « Versions précédentes ») du service VSS du système. Pour cela, il faut supprimer tous les points de restauration système et volumes Shadow qui existaient avant de restreindre l'accès à « %windir%\system32\config », puis de créer un nouveau point de restauration système.
Cette solution n'est que provisoire et préalable à un correctif. Elle n'est pas sans conséquence puisqu'elle peut avoir un impact sur certaines fonctionnalités du système, par exemple sur les opérations de restauration, « y compris la possibilité de restaurer des données avec des applications de sauvegarde tierces ».
Pour empêcher l'exploitation de la vulnérabilité par un attaquant, Microsoft conseille aux utilisateurs de restreindre l'accès et de supprimer les clichés instantanés/versions précédentes.
Source : Microsoft