Windows 10 : une faille zero-day permet de lire les fichiers sensibles en théorie inaccessibles

21 juillet 2021 à 17h15
6
Windows 10 Clubic © Clubic.com
© Clubic

Une nouvelle vulnérabilité zero-day a été décelée dans diverses versions de Windows 10 .

C'est une nouvelle tuile pour Windows 10. Plusieurs versions du système d'exploitation présentent une vulnérabilité d'élévation des privilèges, une faille zero-day de sécurité dévoilée par Microsoft le mardi 20 juillet. Celle-ci permet à un utilisateur qui n'est pas administrateur de lire des fichiers sensibles justement réservés aux administrateurs. Pour l'instant, Microsoft ne propose pas de correctif au public, mais seulement une « solution de contournement ».

Une faille qui entraîne une élévation des privilèges pouvant avoir d'importantes conséquences

Après PrintNightmare, voici HiveNightmare, ou SeriousSAM. Surnommée ainsi par les chercheurs (c'est plus sexy que son nom de code CVE-2021-36934), cette vulnérabilité de type zero-day (une faille non-résolue qui prend par surprise les développeurs) consiste en une élévation des privilèges liés à des listes de contrôle d'accès trop permissives sur plusieurs fichiers système, y compris la SAM, la base de données du gestionnaire des comptes de sécurité.

Satnam Narang, ingénieur de recherche chez Tenable, nous explique plus simplement que la vulnérabilité « permet aux utilisateurs non administrateurs de lire des fichiers sensibles qui sont normalement réservés aux administrateurs ». Microsoft, de son côté, précise que si un individu malveillant parvient à exploiter cette faille, il pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Autant dire que l'attaquant aurait toute la liberté d'installer des programmes, d'afficher, de modifier, de prélever ou de supprimer des données sur et de votre ordinateur. Sans oublier qu'il pourrait carrément créer un nouveau compte, en s'octroyant tous les droits d'utilisateur.

« Pour exploiter la faille, le Volume Shadow Copy Service (Ndlr : VSS, service qui permet les sauvegardes auto ou manuelles) doit être disponible » poursuit Satnam Narang. « Les chercheurs ont souligné que si la taille du disque système est supérieure à 128 Go, la shadow copy VSS sera créée automatiquement lorsqu'une mise à jour de Windows ou un fichier MSI est installé. Les utilisateurs peuvent vérifier si les shadow copy VSS existent ou non en exécutant une commande spécifique sur leur système. »

Pas encore de correctif, mais une mesure d'atténuation proposée par Microsoft

Microsoft n'a pour l'instant pas publié de correctif. En revanche, la firme à la fenêtre propose aux utilisateurs des solutions de contournement. D'abord, Microsoft conseille de restreindre l'accès au contenu de l'adresse « %windir%\system32\config », en exécutant la commande « icacls %windir%\system32\config\*.* /inheritance:e » via l'invite de commande ou Windows PowerShell.

Ensuite, il est conseillé de supprimer les clichés instantanés (aussi connus sous le nom de « Versions précédentes ») du service VSS du système. Pour cela, il faut supprimer tous les points de restauration système et volumes Shadow qui existaient avant de restreindre l'accès à « %windir%\system32\config », puis de créer un nouveau point de restauration système.

Cette solution n'est que provisoire et préalable à un correctif. Elle n'est pas sans conséquence puisqu'elle peut avoir un impact sur certaines fonctionnalités du système, par exemple sur les opérations de restauration, « y compris la possibilité de restaurer des données avec des applications de sauvegarde tierces ».

Pour empêcher l'exploitation de la vulnérabilité par un attaquant, Microsoft conseille aux utilisateurs de restreindre l'accès et de supprimer les clichés instantanés/versions précédentes.

Source : Microsoft

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
7
caprikorn
En ce moment c’st toutes les semaines les failles
lapin-tfc
Depuis toujours et il y en aura d’autres, quand on est un OS fortement installé ca ne loupe pas
Francis7
Ce genre de failles existent aussi sur Linux. Microsoft en a fait les frais récemment avec son service client où les hackers ont exploité le /etc/password, entre autres et compagnie, pour dérober des données personnelles sur les clients.<br /> A ce propos, Microsoft accuse la Chine de cela mais cette dernière dément complètement et formellement.<br /> Bref, laissons les chocs des Titans aux Titans eux-mêmes.
mcbenny
Plutôt que de dire une nouvelle faille, une faille comblée, ou pas encore etc., on devrait parler de «&nbsp;failles de retard&nbsp;».<br /> MS est à 3 failles de retard (sous-entendu ils il y 3 failles non comblées à l’heure actuelle). Puis ils sortent un patch et annoncent «&nbsp;-1 !!!&nbsp;»<br /> Puis 2 jours plus tard «&nbsp;-4 :-(&nbsp;» etc.
vVD
Google n’a pas encore pensé à mettre une IA pour analyser le code à la recherche des bourdes de programmation ?<br /> C’est vrai, eux n’en font pas !<br /> ;-)))
ifebo
«&nbsp;la firme à la fenêtre&nbsp;».<br /> Si elle est à la fenêtre, qu’elle fasse un grand pas en avant !
Voir tous les messages sur le forum

Lectures liées

Windows 11 preview 25120 : bureau interactif et compatibilité ARM64
Renault va mettre un navigateur dans sa Mégane E-Tech, mais pas celui que vous pensez
Brave renforce encore la protection de votre vie privée sur iOS
Shadow repense son offre de cloud computing et annonce un drive gratuit de 20 Go
Découvrez l'app Microsoft Designer en images, le successeur de Publisher ?
Surfshark VPN s'offre enfin une interface sous Linux
Apple dévoile ses prochaines fonctionnalités d'accessibilité : détection de porte, Live Caption, etc.
iOS 15.5 : voici toutes les nouveautés déployées sur votre iPhone par la nouvelle mise à jour Apple
147,9 millions de dollars : le prix pour des logiciels open source sécurisés
Opera 87 facilite la sélection multiple de fichiers
Haut de page