Toutes les versions de Windows impactées par une nouvelle zero-day

Toutes les versions de Windows sont impactées par une nouvelle faille Zero-Day qui offre la possibilité d'effectuer une élévation de privilèges en local et d'avoir les droits SYSTEM sur la machine. Il s'agit d'une faille déjà corrigée par Microsoft en août dernier, mais de manière insuffisante.

Un chercheur en sécurité a partagé des détails techniques au sujet d'une faille Zero-Day, ainsi qu'un PoC afin de montrer qu'il parvient à obtenir les droits SYSTEM sur une machine Windows.

Rassurez-vous, cette faille de sécurité ne pourra pas être exploitée de façon automatique, puisqu'elle nécessite de connaître un couple utilisateur / mot de passe afin de pouvoir s'authentifier sur la machine cible. Ensuite, l'élévation de privilèges est possible. Ça, c'était pour la bonne nouvelle. La mauvaise nouvelle, c'est que cette faille de sécurité touche toutes les versions de Windows, y compris les plus récentes : Windows 11 et Windows Server 2022, et bien sûr Windows 10.

En août dernier, Microsoft a patché une faille de type élévation de privilèges au sein du service "Profil utilisateur", associée à la référence CVE-2021-34484 et découverte par le chercheur en sécurité Abdelhamid Naceri. Après analyse du correctif publié par Microsoft, Abdelhamid Naceri a découvert qu'il n'était pas suffisant pour protéger totalement contre cette vulnérabilité. En effectuant quelques recherches, il est parvenu à contourner le correctif mis en place par Microsoft et à exploiter cette faille !

Abdelhamid Naceri estime que Microsoft n'a pas éliminé la cause de ce bug, donc il est possible de trouver de nouvelles façons de l'exploiter. La preuve. L'analyste en vulnérabilités du CERT/CC, Will Dormann, a pu vérifier que le PoC publié par A. Naceri fonctionnait, même si parfois cela échouait. Grâce à cette élévation de privilèges, il est possible d'obtenir une Invite de commandes avec les droits "NT AUTHORITY\SYSTEM", ce qui est le niveau de droit le plus élevé.

Pour le moment, Microsoft n'a pas réagi, mais il est fort possible qu'un nouveau correctif soit intégré au prochain Patch Tuesday.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3369 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.