Windows 10 et la faille SeriousSAM, solution en attendant un correctif

Spread the love
  • Yum

Windows 10 et 11 sont victime d’une importante faille de sécurité. Dévoilée par Microsoft elle permet une élévation de privilèges en local. Pour le moment aucun correctif n’est disponible mais une solution de contournement existe.

Un défaut de sécurité touche Windows 10 et Windows 11. Microsoft a pris la parole autour d’une nouvelle vulnérabilité zero-day. Elle a été signalée sur Twitter par le chercheur en sécurité Jonas Lykkegaard. Exploitée par un pirate elle permet une élévation des privilèges en local afin d’accéder à des données dites sensibles.

Cette faille porte le nom de SeriousSAM. Elle est répertoriée par le géant du logiciel son appellation CVE-2021-36934. Le problème touche « des contrôles d’accès trop laxistes sur plusieurs fichiers système » dont la base de données du gestionnaire des comptes de sécurité.

Son exploitation donne un accès à certains fichiers sensibles réservés normalement qu’aux administrateurs. Mieux il devient possible d’exécuter un code arbitraire via des privilèges élevés. Dans ces conditions la situation peut devenir dangereuse puisqu’une personne malveillante peut obtenir un accès étendu aux données d’un ordinateur. En clair elle peut lire, modifier et supprimer des données.

Windows 10 et 11 et la faille SeriousSAM, solution

A noter qu’une condition est nécessaire puisque le VSS doit être en cours d’expectation. Le VSS est la contraction de Volume Shadow Copy. Selon Microsoft aucune attaque connue exploite cette défaillance. Cependant son exploitation est probable. Le géant propose une solution de contournement en attendant la publication d’un correctif. Elle passe par deux étapes.

La première consiste à renforcer la sécurité autour des données situées à cette adresse

Windows > system32> config

Pour ce faire il faut exécuter une ligne de commande soit via l’ Invite de de commande (à exécuter en mode administrateur)

icacls %windir%\system32\config\*.* /inheritance:e

ou le Windows PowerShell (à exécuter en mode administrateur)

icacls $env:windir\system32\config\*.* /inheritance:e

La deuxième étape passe par la suppression  de tous les points de restauration système et volumes Shadow puis de créer un nouveau point de restauration système. Nous n’avons aucun calendrier de publication concernant l’arrivée du patch.

Attention Microsoft explique

“La suppression des clichés instantanés peut avoir un impact sur les opérations de restauration, y compris la possibilité de restaurer des données avec des applications de sauvegarde tierces.”

Cette défaillance touche

  • Windows Server 20H2 (Server Core installation), Server 2004 (Server Core installation), Server 2019 (Server Core installation) et Server 2019,
  • Windows 10 20H2, 20H1, 1909 et 1809 (ARM64, 32 et 64-bit).

Leave a Reply

%d bloggers like this: