Windows 10 et 11 : une faille permet à n’importe qui de devenir administrateur, voici comment se protéger
Les PC fonctionnant sous Windows 11 et Windows 10 présentent une vulnérabilité qui permet aux utilisateurs disposant de faibles privilèges d’accéder aux fichiers du Registre. Elle permet donc de devenir administrateur d’un ordinateur.
Les versions récentes de Windows 10 et la version « Preview » de Windows 11 comportent une liste de contrôle d’accès (ACL) mal configurée pour les fichiers de ruche du registre Security Account Manager (SAM), SYSTEM et SECURITY. Cette nouvelle faille facilement exploitable, nommée CVE-2021-36934 permettrait aux utilisateurs locaux non administratifs d’obtenir des privilèges de niveau administratif, leur donnant ainsi un accès total au système.
Des personnes malveillantes pourraient donc avoir accès au fichier SAM du registre Windows, qui contient des versions “hachées” de tous les mots de passe utilisateur d’un système Windows donné, y compris les mots de passe des utilisateurs administratifs. Même si ceux-ci sont cryptés, certains pirates sont tout de même capables de les « craquer » pour retrouver les mots de passe originaux.
La découverte d’une nouvelle vulnérabilité aussi importante dans le système d’exploitation Windows n’est pas une bonne nouvelle pour Microsoft. Elle survient seulement quelques semaines après les avertissements concernant la vulnérabilité du gestionnaire d’imprimante, nommée PrintNightmare. Celle-ci permet notamment à des pirates de s’infiltrer dans le PC de leur victime pour y installer des logiciels malveillants. Microsoft a d’ailleurs récemment déployé un correctif, mais celui-ci n’est pas efficace à 100 %.
COMMENT SE PROTÉGER CONTRE LA FAILLE CVE-2021-36934 ?
En attendant de déployer un correctif, Microsoft a fourni une solution de contournement pour vous protéger de la faille :
Tout d’abord, il vous faudra limiter l’accès au contenu de %windir%\system32\config. Pour cela :
- Ouvrez l’Invite de commandes ou Windows PowerShell en tant qu’administrateur.
- Exécutez la commande suivante : icacls %windir%\system32\config\*.* /inheritance:e
Ensuite, il s’agira de supprimer les clichés instantanés du Volume Shadow Copy Service (VSS), en suivant la procédure suivante :
- Ouvrez l’invite de commande ou Windows PowerShell en tant qu’administrateur.
- Exécutez la commande : vssadmin list shadows (qui répertorie tous les clichés instantanés existants d’un volume spécifié).
- S’il y en a, supprimez-les avec : vssadmin delete shadows /for=c : /Quiet
- Exécutez à nouveau la commande : vssadmin list shadows pour vérifier s’ils ont été supprimés.
- Supprimez tous les points de restauration du système qui existaient avant la restriction de l’accès à %windir%\system32\config.
- Créez un nouveau point de restauration du système (si nécessaire).
Puisque Microsoft a officiellement reconnu l’existence de la faille, et qu’il s’agit d’une faille critique, on s’attend à ce que l’entreprise américaine déploie un correctif au plus vite, d’ici les prochaines semaines.
Source : Neowin