Une vulnérabilité dans Windows 10 et 11 permet à n’importe qui d’obtenir des privilèges d’administrateur

Le chercheur en sécurité Jonas Lykkegaard a découvert qu’une vulnérabilité dans le système d’exploitation Windows pourrait permettre aux utilisateurs de bas niveau d’obtenir des privilèges administratifs sur leur ordinateur local. Ce problème aurait des implications sur Windows 10 et Windows 11.

Au cours de notre enquête, nous avons constaté que même sans privilèges d’administrateur, les utilisateurs Windows pouvaient accéder aux fichiers sensibles de la base de données du registre pour augmenter individuellement le niveau de privilège du système. Le registre Windows agit comme un type de référentiel de configuration du système d’exploitation. Comprend un mot de passe haché et des paramètres utilisateur. Paramètres de configuration de l’application, etc., ainsi que la clé de déchiffrement.

Dans le même temps, les fichiers de base de données associés au registre se trouvent dans le dossier de configuration C: Windows system32. Il s’agit des fichiers SYSTEM, SECURITY, SAM, DEFAULT et SOFTWARE. En effet, ces fichiers contiennent des informations sensibles sur tous les comptes d’utilisateurs d’appareils et les jetons de sécurité utilisés par les fonctionnalités Windows. Les utilisateurs normaux ne devraient pas y accéder. Cela est particulièrement vrai pour les fichiers Security Accounts Manager (SAM). Pour stocker les mots de passe hachés pour tous les utilisateurs du système.

Une vulnérabilité dans Windows 10 et 11 permet à n’importe qui d’obtenir des privilèges d’administrateur

Après enquête, Lykkegaard a découvert que les fichiers de registre liés à SAM pour Windows 10 et Windows 11 et d’autres bases de données de registre sont disponibles pour les utilisateurs d’appareils moins privilégiés. Cela signifie qu’un attaquant peut extraire des mots de passe NTLM hachés pour tous les comptes de l’appareil et les utiliser dans des attaques de hachage pour élever les privilèges sans avoir les privilèges d’administrateur. Les fichiers comme SAM sont toujours utilisés par le système et les tentatives d’accès sont refusées, mais le système en fait des copies cachées et est utilisé par des attaquants dans ce type d’attaque.

Selon les données disponibles, les utilisateurs disposant de privilèges normaux pourraient accéder au fichier pour la première fois sous Windows 10 (1809). Microsoft a confirmé le problème et la vulnérabilité a été suivie sous l’identifiant CVE-2021-36934. Le développeur a également suggéré une option temporaire pour modifier les paramètres d’accès. Cela évite les problèmes potentiels liés à cette vulnérabilité. “Nous enquêtons sur la situation et prendrons les mesures appropriées pour protéger nos clients si nécessaire”, a commenté un porte-parole de Microsoft à propos du problème.

Pour bloquer temporairement l’exploitation de cette vulnérabilité, vous devez effectuer les étapes suivantes :

Restreindre l’accès au contenu de% windir% system32 config.

    Ouvrez une invite de commande ou Windows PowerShell en tant qu’administrateur. Exécutez la commande suivante : icacls %windir%system32config*.* /inheritance:e

Supprime le cliché instantané du service de cliché instantané des volumes (VSS).

    Supprimez tous les points de restauration système et volumes d’ombre qui existaient avant de restreindre l’accès à la configuration % windir% system32. Créez un nouveau point de restauration système (si nécessaire).

https://www.gizchina.com/2021/07/21/a-vulnerability-in-windows-10-and-11-allows-anyone-to-gain-administrator-rights/ Une vulnérabilité dans Windows 10 et 11 permet n’importe qui pour obtenir des privilèges d’administrateur