Sale mois de juillet pour la sécurité de Windows

Sale mois de juillet pour la sécurité de Windows

Alors que Microsoft commence à peine à voir le bout du tunnel avec Printnightmare, une nouvelle faille zero day découverte cette semaine sur Windows vient à jouer les épines dans le pied de Microsoft.

Baptisée SeriousSAM, cette vulnérabilité a été signalée sur twitter par le chercheur en sécurité Jonas Lykkegaard. Microsoft lui a attribué le CVE-2021-36934, qui décrit la vulnérabilité comme « une élévation des privilèges en raison de listes de contrôle d’accès (ACL) trop permissives sur plusieurs fichiers système, y compris la base de données du gestionnaire de comptes de sécurité (SAM). Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes avec des droits d’utilisateur complets. » Il s’agit donc d’une élévation de privilège en local, qui peut permettre à un attaquant disposant déjà de droits limités sur l’appareil d’éxecuter du code en disposant de privilèges elevés sur la machine. Celle ci affecte à la fois Windows 10 et Windows 11.

publicité

Tout le monde n’est pas SAM

Comme l’explique Benjamin Delpy, le créateur de Mimikatz, cette faille de sécurité provient d’une modification introduite par Microsoft au cours d’une mise à jour précédente, qui permet notamment d’accéder à des hash de mots de passe stockés sur la machine, des “empreintes” de mots de passes passées par une fonction de hachage cryptographique : « Certains fichiers de Windows contiennent le hash des mots de passe des différents utilisateurs du système et d’autres informations essentielles de sécurité. En théorie, seul un compte administrateur peut accéder à ces informations. Mais suite à une mise à jour, on a découvert que des utilisateurs à faibles privilèges pouvaient accéder à ces informations, au moins en lecture. »

Techniquement néanmoins, l’accès à ce fichier est bloqué par le système d’exploitation, qui accède en permanence au gestionnaire de compte de sécurité SAM et bloque l’accès à un autre utilisateur. Mais un contournement a été découvert en s’appuyant sur le mécanisme des « Shadow Copies » : une technologie implémentée depuis Windows XP qui permet de faire des images instantanées du système en cours de fonctionnement à intervalle régulier. « Le contournement, c’est que l’on ne cherche pas à accéder à la base de données courante, mais uniquement à accéder aux informations stockées dans l’une de ces shadow copy du système, et le système ne bloque pas l’accès à ces informations dans ce cas de figure. »

En récupérant les hashs des mots de passe contenus dans le système, un utilisateur à faible privilège peut ensuite les exploiter dans d’autres attaques de type « pass the hash » qui permettent par exemple de réinitialiser le mot de passe de l’administrateur et donc de prendre le contrôle de l’appareil. Microsoft ne propose pour l’instant pas de correctif pour ce bug, mais propose deux actions pour résoudre le problème : une commande powershell visant à restreindre l’accès au gestionnaire de comptes de sécurité, et la suppression des shadow copies antérieures. « C’est très important de faire les deux : modifier les droits permet de s’assurer que les futures shadow copies ne permettront pas l’accès aux hashs des mots de passe, et supprimer les anciennes permet de s’assurer qu’un attaquant ne puisse pas accéder aux anciennes copies pour accéder aux hash des mots de passe » explique Benjamin Delpy.

Ce n’est pas exactement une première : comme l’explique Jonas Lykkegaard, cette ouverture des accès au gestionnaire de compte de sécurité suite à une mise à jour est déjà arrivée à plusieurs reprises par le passé. Le chercheur en sécurité n’en est pas à son coup d’essai et a déjà signalé plusieurs erreurs similaires de la part de Microsoft. Mais selon lui, le montant des primes concédées par Microsoft pour ses signalements est bien trop faible pour justifier de passer par le processus traditionnel de divulgation des vulnérabilités : « Je n’appellerais pas ça une divulgation coordonnée. Je me contente de signaler le problème sur Twitter. Si je voulais connaître l’ampleur du problème, il faudrait que je mette en place un serveur et des machines virtuelles et ca finirait par me coûter plus que ce que Microsoft accepte de payer en prime. Et je n’ai pas l’intention de faire le boulot à la place de Microsoft. »

PrintNightmare fait de la persistance

En parallèle de cette nouvelle vulnérabilité, les déboires de Microsoft face à la faille PrintNightmare se poursuivent. Si Microsoft a fourni plusieurs patchs visant à corriger, les chercheurs en sécurité continuent de trouver des variantes qui permettent d’exploiter la faille sur des systèmes ayant installé les dernières mises à jour diffusées par Microsoft.

La dernière version en date a été publiée par Benjamin Delpy, et repose toujours globalement sur le même principe: « Il s’agit toujours de du même mécanisme, qui consiste à executer une librairie avec des droits élèves en s’appuyant sur le mécanisme d’ajout d’une imprimante ou de drivers d’imprimantes dans le spouleur d’impression » explique Benjamin Delpy. Une première version de l’attaque a été publiée dimanche, et le chercheur a depuis identifié de nouvelles variantes. Dans la dernière version de l’exploit, l’attaque permet d’obtenir la persistance sur la machine, c’est-à-dire le fait que le code malveillant ne soit pas effacé de la machine au redémarrage. « C’est le Graal en matière de logiciel malveillant, cela permet de s’assurer que le code arbitraire exécuté sera copié par le spouleur d’impression, donc de manière légitime, dans un endroit ou elle persistera après le redémarrage du système » explique le chercheur.

Microsoft n’a pas confirmé l’effectivité de cette nouvelle variante, mais a attribué un nouvel identifiant CVE à une autre faille affectant le spouleur d’impression, dont la description semble très similaire à celle découverte par Benjamin Delpy. La découverte de celle-ci est néanmoins attribuée à un autre chercheur, qui a indiqué qu’il ne considérait pas celle-ci comme une variante de PrintNightmare et que les détails de la vulnérabilité seraient dévoilés à l’occasion d’une conférence donnée à l’occasion de la conférence DefCon. Il a également fait savoir que Microsoft ne l’avait pas prévenu avant d’attribuer publiquement cette CVE.

Leave a Reply

Your email address will not be published. Required fields are marked *