Windows 10 : une faille zero-day permet de lire les fichiers sensibles en théorie inaccessibles

21 juillet 2021 à 17h15
6
Windows 10 Clubic © Clubic.com
© Clubic

Une nouvelle vulnérabilité zero-day a été décelée dans diverses versions de Windows 10 .

C'est une nouvelle tuile pour Windows 10. Plusieurs versions du système d'exploitation présentent une vulnérabilité d'élévation des privilèges, une faille zero-day de sécurité dévoilée par Microsoft le mardi 20 juillet. Celle-ci permet à un utilisateur qui n'est pas administrateur de lire des fichiers sensibles justement réservés aux administrateurs. Pour l'instant, Microsoft ne propose pas de correctif au public, mais seulement une « solution de contournement ».

Une faille qui entraîne une élévation des privilèges pouvant avoir d'importantes conséquences

Après PrintNightmare, voici HiveNightmare, ou SeriousSAM. Surnommée ainsi par les chercheurs (c'est plus sexy que son nom de code CVE-2021-36934), cette vulnérabilité de type zero-day (une faille non-résolue qui prend par surprise les développeurs) consiste en une élévation des privilèges liés à des listes de contrôle d'accès trop permissives sur plusieurs fichiers système, y compris la SAM, la base de données du gestionnaire des comptes de sécurité.

Satnam Narang, ingénieur de recherche chez Tenable, nous explique plus simplement que la vulnérabilité « permet aux utilisateurs non administrateurs de lire des fichiers sensibles qui sont normalement réservés aux administrateurs ». Microsoft, de son côté, précise que si un individu malveillant parvient à exploiter cette faille, il pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Autant dire que l'attaquant aurait toute la liberté d'installer des programmes, d'afficher, de modifier, de prélever ou de supprimer des données sur et de votre ordinateur. Sans oublier qu'il pourrait carrément créer un nouveau compte, en s'octroyant tous les droits d'utilisateur.

« Pour exploiter la faille, le Volume Shadow Copy Service (Ndlr : VSS, service qui permet les sauvegardes auto ou manuelles) doit être disponible » poursuit Satnam Narang. « Les chercheurs ont souligné que si la taille du disque système est supérieure à 128 Go, la shadow copy VSS sera créée automatiquement lorsqu'une mise à jour de Windows ou un fichier MSI est installé. Les utilisateurs peuvent vérifier si les shadow copy VSS existent ou non en exécutant une commande spécifique sur leur système. »

Pas encore de correctif, mais une mesure d'atténuation proposée par Microsoft

Microsoft n'a pour l'instant pas publié de correctif. En revanche, la firme à la fenêtre propose aux utilisateurs des solutions de contournement. D'abord, Microsoft conseille de restreindre l'accès au contenu de l'adresse « %windir%\system32\config », en exécutant la commande « icacls %windir%\system32\config\*.* /inheritance:e » via l'invite de commande ou Windows PowerShell.

Ensuite, il est conseillé de supprimer les clichés instantanés (aussi connus sous le nom de « Versions précédentes ») du service VSS du système. Pour cela, il faut supprimer tous les points de restauration système et volumes Shadow qui existaient avant de restreindre l'accès à « %windir%\system32\config », puis de créer un nouveau point de restauration système.

Cette solution n'est que provisoire et préalable à un correctif. Elle n'est pas sans conséquence puisqu'elle peut avoir un impact sur certaines fonctionnalités du système, par exemple sur les opérations de restauration, « y compris la possibilité de restaurer des données avec des applications de sauvegarde tierces ».

Pour empêcher l'exploitation de la vulnérabilité par un attaquant, Microsoft conseille aux utilisateurs de restreindre l'accès et de supprimer les clichés instantanés/versions précédentes.

Source : Microsoft

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
7
Voir tous les messages sur le forum

Lectures liées

Vivaldi 4.1 : meilleure gestion des onglets et séquences de commandes personnalisées
Microsoft 365 : fin du support d'Internet Explorer 11 au 17 août
Google Maps proposera de vérifier l'affluence dans les transports en commun
Bon plan antivirus : protégez votre vie numérique avec cette offre de Bitdefender à prix jamais vu !
Le service de stockage prometteur Icedrive vous propose une offre séduisante à 4,17€ seulement !
Google Maps permet de détecter les zones à faibles émissions carbone dans Paris
Chrome OS : un caractère manquant dans le code crée un bug frustrant sur les Chromebook
Windows 11 : une nouvelle preview, des nouveautés et des correctifs
Microsoft déploie Edge 92 avec un testeur de mot de passe et une extension pour Outlook.com
L'offre de stockage en ligne Icedrive profite d'une belle promo à 4,17€
Haut de page