La nouvelle vulnérabilité des autorisations Windows permet à un attaquant d’accéder aux mots de passe et aux données des utilisateurs

La Nouvelle Vulnérabilité Des Autorisations Windows Permet à Un Attaquant

Une patate chaude : Tout comme Microsoft lutte contre cinq failles de sécurité différentes affectant le spouleur d’impression Windows, les chercheurs en sécurité ont découvert le prochain cauchemar de l’entreprise – une faille d’autorisations surnommée HiveNightmare alias SeriousSAM. La nouvelle vulnérabilité est moins facilement exploitée, mais un attaquant motivé peut l’utiliser pour obtenir le niveau maximum de privilèges d’accès possible dans Windows et voler des données et des mots de passe.

Lundi, le chercheur en sécurité Jonas Lykkegaard révélé sur Twitter qu’il a peut-être trouvé une vulnérabilité sérieuse sur Windows 11. Au début, il pensait qu’il regardait une régression logicielle dans une version Insider de Windows 11, mais il a remarqué que le contenu d’un fichier de base de données associé au registre Windows était accessible aux utilisateurs réguliers sans privilèges élevés.

Plus précisément, Jonas a découvert qu’il pouvait lire le contenu du gestionnaire de compte de sécurité (SAM) qui contient les mots de passe hachés pour tous les utilisateurs sur un PC Windows, ainsi que celui d’autres bases de données du registre.

C’était confirmé par Kevin Beaumont et Jeff McJunkin, qui ont effectué des tests supplémentaires et découvert que le problème affecte les versions de Windows 10 1809 et supérieures, jusqu’à la dernière version Insider de Windows 11. Les versions 1803 et inférieures ne sont pas affectées, comme toutes les versions de Windows Server.

Microsoft a reconnu la vulnérabilité et travaille actuellement sur un correctif. Le bulletin de sécurité de l’entreprise explique qu’un acteur malveillant qui a réussi à exploiter cette faille serait en mesure de créer un compte sur la machine affectée qui aurait des privilèges de niveau système, qui est le plus haut niveau d’accès sous Windows. Cela signifie que l’attaquant pourrait afficher et modifier vos fichiers, installer des applications, créer de nouveaux comptes d’utilisateurs et exécuter n’importe quel code avec des privilèges élevés.

C’est un problème grave, mais il est possible qu’il n’ait pas été largement exploité, car l’attaquant devrait d’abord compromettre le système cible en utilisant une vulnérabilité différente. Et selon l’équipe de préparation aux urgences informatiques des États-Unis, le système en question doit avoir le service de cliché instantané des volumes activé.

Microsoft a fourni une solution de contournement aux personnes cherchant à atténuer le problème, ce qui implique de restreindre l’accès au contenu du dossier Windowssystem32config et de supprimer les points de restauration du système et les clichés instantanés. Cependant, cela peut interrompre les opérations de restauration, et cela inclut la restauration de votre système à l’aide d’applications de sauvegarde tierces.

Si vous recherchez une lecture approfondie de la vulnérabilité et de la façon dont elle peut être exploitée, vous pouvez en trouver une ici. Selon Qualys, la communauté de la sécurité a découvert deux vulnérabilités très similaires dans Linux que vous pouvez lire ici et ici.