Le chercheur en sécurité Jonas Likkegaard a découvert une vulnérabilité dans le système d'exploitation Windows qui permet à un utilisateur de bas niveau d'obtenir des droits d'administrateur sur un ordinateur local. Selon les rapports, le problème affecte Windows 10 et Windows 11.
Au cours de la recherche, il a été constaté que même sans droits d'administrateur, un utilisateur Windows peut accéder aux fichiers confidentiels de la base de données du registre afin d'augmenter de manière indépendante le niveau de privilèges dans le système. Le registre Windows agit comme une sorte de référentiel de configuration pour le système d'exploitation et contient des mots de passe hachés, des paramètres utilisateur, des paramètres de configuration pour les applications, des clés de déchiffrement et bien plus encore.
Parallèlement, les fichiers de base de données associés au registre sont stockés dans le dossier C:\Windows\system32\config. Ce sont les fichiers SYSTEM, SECURITY, SAM, DEFAULT et SOFTWARE. Étant donné que ces fichiers contiennent des informations confidentielles sur tous les comptes d'utilisateurs d'appareils et les jetons de sécurité utilisés par les fonctionnalités de Windows, les utilisateurs normaux doivent être empêchés de les afficher. Cela est particulièrement vrai pour le fichier Security Accounts Manager (SAM), car il stocke les mots de passe hachés de tous les utilisateurs du système.
Grâce à des recherches, Lyckegaard a découvert que les fichiers de registre liés à Windows 10 et Windows 11 SAM, ainsi que d'autres bases de données de registre, sont disponibles pour les utilisateurs de l'appareil avec de faibles privilèges. Cela signifie qu'un attaquant, même sans droits d'administrateur, peut extraire les mots de passe NTLM hachés pour tous les comptes sur l'appareil et les utiliser dans des attaques de passage de hachage pour élever les privilèges. Malgré le fait que les fichiers comme SAM sont toujours utilisés par le système et qu'une tentative d'accès sera refusée, le système en crée des copies cachées, qui sont utilisées par l'attaquant dans ce type d'attaque.
Selon les données disponibles, les utilisateurs avec des privilèges normaux ont pu accéder pour la première fois aux fichiers mentionnés précédemment dans Windows 10 (1809). Microsoft a confirmé le problème et la vulnérabilité est suivie sous l'identifiant CVE-2021-36934. Les développeurs ont également proposé une option temporaire pour modifier les paramètres d'accès afin d'éviter les problèmes potentiels associés à cette vulnérabilité. "Nous enquêtons sur la situation et, si nécessaire, prendrons les mesures appropriées pour protéger les clients", a commenté un porte-parole de Microsoft à ce sujet.
2021-07-21 19:17:29
Auteur: Vitalii Babkin