Windows 10

Windows 10 et la faille SeriousSAM, solution en attendant un correctif

Windows 10 et la sécurité

Windows 10 est victime d’une importante faille de sécurité. Dévoilée par Microsoft elle permet une élévation de privilèges en local. Pour le moment aucun correctif n’est disponible mais une solution de contournement existe.

Un défaut de sécurité touche Windows 10. Microsoft a pris la parole autour d’une nouvelle vulnérabilité zero-day. Elle a été signalée sur Twitter par le chercheur en sécurité Jonas Lykkegaard. Exploitée par un pirate elle permet une élévation des privilèges en local afin d’accéder à des données sensibles.

Cette faille porte le nom de SeriousSAM. Elle est répertoriée par le géant du logiciel son appellation CVE-2021-36934. Le problème touche « des contrôles d’accès trop laxistes sur plusieurs fichiers système » dont la base de données du gestionnaire des comptes de sécurité.

Son exploitation donne un accès à certains fichiers sensibles réservés normalement qu’aux administrateurs. Mieux il devient possible d’exécuter un code arbitraire via des privilèges élevés. Dans ces conditions la situation peut devenir dangereuse puisqu’une personne malveillante peut obtenir un accès étendu aux données d’un ordinateur. En clair elle peut lire, modifier et supprimer des données.

Satnam Narang, ingénieur de recherche chez Tenable explique

“La vulnérabilité zero-day d’élévation de privilèges de Windows (CVE-2021-36934), appelée HiveNightmare ou SeriousSAM par les chercheurs en sécurité affecte certaines versions de Windows 10. Elle permet aux utilisateurs non administrateurs de lire des fichiers sensibles qui sont normalement réservés aux administrateurs. “

Windows 10 et 11 et la faille SeriousSAM, solution

A noter qu’une condition est nécessaire puisque le VSS doit être disponible. Le VSS est la contraction de Volume Shadow Copy.

A ce sujet Satnam Narang ajoute

“La vulnérabilité zero-day d’élévation de privilèges de Windows (CVE-2021-36934), appelée HiveNightmare ou SeriousSAM par les chercheurs en sécurité affecte certaines versions de Windows 10. Elle permet aux utilisateurs non administrateurs de lire des fichiers sensibles qui sont normalement réservés aux administrateurs.

Pour exploiter la faille, le Volume Shadow Copy Service (VSS) doit être disponible. Les chercheurs ont souligné que si la taille du disque système est supérieure à 128 gigaoctets, la shadow copy VSS sera créée automatiquement lorsqu’une mise à jour de Windows ou un fichier MSI est installé. Les utilisateurs peuvent vérifier si les shadow copy VSS existent ou non en exécutant une commande spécifique sur leur système. L’exploitation réussie de cette faille donnerait à un attaquant local la possibilité d’élever ses privilèges, de collecter des mots de passe et des clés informatiques ainsi que d’accéder à un compte d’ordinateur afin d’effectuer une attaque de type “silver ticket”.”

Selon Microsoft aucune attaque connue exploite cette défaillance. Cependant son exploitation est probable. Le géant propose une solution de contournement en attendant la publication d’un correctif. Elle passe par deux étapes.

La première consiste à renforcer la sécurité autour des données situées à cette adresse

Windows > system32> config

Pour ce faire il faut exécuter une ligne de commande soit via l’ Invite de de commande (à exécuter en mode administrateur)

icacls %windir%\system32\config\*.* /inheritance:e

ou le Windows PowerShell (à exécuter en mode administrateur)

icacls $env:windir\system32\config\*.* /inheritance:e

La deuxième étape passe par la suppression  de tous les points de restauration système et volumes Shadow puis de créer un nouveau point de restauration système. Nous n’avons aucun calendrier de publication concernant l’arrivée du patch.

Attention Microsoft explique

“La suppression des clichés instantanés peut avoir un impact sur les opérations de restauration, y compris la possibilité de restaurer des données avec des applications de sauvegarde tierces.”

Cette défaillance touche

  • Windows Server 20H2 (Server Core installation), Server 2004 (Server Core installation), Server 2019 (Server Core installation) et Server 2019,
  • Windows 10 20H2, 20H1, 1909 et 1809 (ARM64, 32 et 64-bit).
Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Voir commentaires

Quitter les commentaires
Partager
Publié par
Jérôme Gianoli
Tags: Sécurité
22/07/2021 9 h 28 min

Article en relation

Article récent

GeForce RTX 5070 Ti, VRAM augmentée et TDP plus élevé

Les premières informations sur la GeForce RTX 5070 Ti, prévue pour début 2025, indiquent des… Lire d'avantage

16/12/2024

SSD PCIe 5.0 x4 Platinum P51, SK hynix annonce du 14,7 Go/s !

Annoncé en mars dernier, le SK hynix Platinum P51 PCIe 5.0 est enfin lancé en… Lire d'avantage

16/12/2024

FA200, Acer dévoile un nouveau SSD PCIe 4.0 x4

Acer lève le voile sur sa gamme de SSD FA200 PCIe 4.0. Visant le milieu… Lire d'avantage

16/12/2024

Kioxia Exceria Plus G4 : Un SSD M.2 NVMe Gen 5 milieu de gamme prometteur

Kioxia a dévoilé l'Exceria Plus G4, un SSD M.2 NVMe qui promet des débits musclés… Lire d'avantage

16/12/2024

Mastic Putty de Thermal Grizzly : une alternative aux pads thermiques

Le mastic thermique de Thermal Grizzly se positionne comme une solution haut de gamme pour… Lire d'avantage

16/12/2024

Windows 11 et les PCs non pris en charge, il est temps de clarifier la situation

Un récent article de PCWorld, a semé une confusion en affirmant que Microsoft aurait assoupli… Lire d'avantage

16/12/2024
Publicité sur GinjFo | Mentions légales | Contacts | A propos | Flux RSS | Confidentialité et traitement des données