Actualités

HiveNightmare, SeriousSAM : l’accès dangereux à certains fichiers permettant une élévation de privilèges depuis le VSS !

(Source : Cyberwatch)

 

L’été 2021 ne démord malheureusement pas en sensations dans le domaine sécuritaire : depuis le 20 Juillet 2021, Microsoft alerte sur une vulnérabilité outrepassant les droits de l’Access Control Lists (ACLs) dont le Security Accounts Manager (SAM), une base de donnée du registre…

 

 

Centralisant les mots de passe, entre-autres, des comptes Windows en local, une exécution arbitraire serait possible : “un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec des droits d’utilisateur complets. Un attaquant doit avoir la capacité d’exécuter du code sur un système victime pour exploiter cette vulnérabilité“, indique le billet sécuritaire de Microsoft, relatif à cette faille assignée CVE-2021-36934.

Un peu plus bavard, le CERT évoque un contournement, dans les détails, depuis le Volume Shadow Copy (VSS) : ce dernier permet d’effectuer chroniquement des sauvegardes automatiques ou manuelles du système Windows via une capture des blocs-fichiers. Disposant d’outils et de fonctions variées (lecture seule pendant la sauvegarde, actualisation-donnée par déverrouillage des lecteurs-disques, par exemple) il a potentiellement été exploité via un accès-lecture illégitime. De là, une élévation de privilèges peut être effectuée.

 

Affectant presque toutes les versions de Windows Vista, Windows 10 ainsi que les versions Windows Server (2019, 2004, 20H2), un correctif est déjà annoncé pour le 10 Août 2021. En attendant, les administrateurs-réseau devront redoubler de vigilance et adopter une attitude pragmatique via les solutions d’atténuation suivantes :

 

  • [A évaluer bénéfice-risques] Suppression des captures VSS + les sauvegardes (points) de restauration,
  • Sécurisation de l’accès %windir%\system32\config\ (modification des ACLs),
  • Effectuer une nouvelle sauvegarde (facultatif).

 

Encore plus loquace, Benjamin Delpy, auteur de Mimikatz et qui évoquait encore peu la vulnérabilité de PrintNightmare, dévoile certains aspects techniques de SeriousSAM dont, parmi les nombreuses finalités, la possibilité de faire une attaque par silver ticket (ticket d’argent) : il s’agit de pouvoir accéder au Ticket Granting Service (TGS) en obtenant le fameux sésame (ou ticket, d’où le nom) via le TGT (Ticket Granting Ticket ou Ticket to Get Ticket). Derrière ces noms mystérieux réside en l’état un fichier à période limité intégrant des informations d’authentification chiffrées pour accéder à un réseau ou ses données. Il s’agit, en quelque sorte, d’une étape de négociation (Key Distribution Center) permettant d’ouvrir la porte vers l’ensemble des services comme Kerberos. Ce principe permet ainsi, théoriquement, de se prémunir de cyber-attaques de type, entre-autres, MitM (Man-in-the-Middle)… A veiller !

 

 

Sources :




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0