Windows 10 : une faille zero-day permet de lire les fichiers sensibles en théorie inaccessibles

Alexandre Boero
Chargé de l'actualité de Clubic
21 juillet 2021 à 17h15
6
© Clubic
© Clubic

Une nouvelle vulnérabilité zero-day a été décelée dans diverses versions de Windows 10.

C'est une nouvelle tuile pour Windows 10. Plusieurs versions du système d'exploitation présentent une vulnérabilité d'élévation des privilèges, une faille zero-day de sécurité dévoilée par Microsoft le mardi 20 juillet. Celle-ci permet à un utilisateur qui n'est pas administrateur de lire des fichiers sensibles justement réservés aux administrateurs. Pour l'instant, Microsoft ne propose pas de correctif au public, mais seulement une « solution de contournement ».

Lire aussi :
Sauvegarde et anticipation : les clés pour se protéger des ransomwares cet été (Vidéo)

Une faille qui entraîne une élévation des privilèges pouvant avoir d'importantes conséquences

Après PrintNightmare, voici HiveNightmare, ou SeriousSAM. Surnommée ainsi par les chercheurs (c'est plus sexy que son nom de code CVE-2021-36934), cette vulnérabilité de type zero-day (une faille non-résolue qui prend par surprise les développeurs) consiste en une élévation des privilèges liés à des listes de contrôle d'accès trop permissives sur plusieurs fichiers système, y compris la SAM, la base de données du gestionnaire des comptes de sécurité.

Satnam Narang, ingénieur de recherche chez Tenable, nous explique plus simplement que la vulnérabilité « permet aux utilisateurs non administrateurs de lire des fichiers sensibles qui sont normalement réservés aux administrateurs ». Microsoft, de son côté, précise que si un individu malveillant parvient à exploiter cette faille, il pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Autant dire que l'attaquant aurait toute la liberté d'installer des programmes, d'afficher, de modifier, de prélever ou de supprimer des données sur et de votre ordinateur. Sans oublier qu'il pourrait carrément créer un nouveau compte, en s'octroyant tous les droits d'utilisateur.

« Pour exploiter la faille, le Volume Shadow Copy Service (Ndlr : VSS, service qui permet les sauvegardes auto ou manuelles) doit être disponible » poursuit Satnam Narang. « Les chercheurs ont souligné que si la taille du disque système est supérieure à 128 Go, la shadow copy VSS sera créée automatiquement lorsqu'une mise à jour de Windows ou un fichier MSI est installé. Les utilisateurs peuvent vérifier si les shadow copy VSS existent ou non en exécutant une commande spécifique sur leur système. »

Lire aussi :
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !

Pas encore de correctif, mais une mesure d'atténuation proposée par Microsoft

Microsoft n'a pour l'instant pas publié de correctif. En revanche, la firme à la fenêtre propose aux utilisateurs des solutions de contournement. D'abord, Microsoft conseille de restreindre l'accès au contenu de l'adresse « %windir%\system32\config », en exécutant la commande « icacls %windir%\system32\config\*.* /inheritance:e » via l'invite de commande ou Windows PowerShell.

Ensuite, il est conseillé de supprimer les clichés instantanés (aussi connus sous le nom de « Versions précédentes ») du service VSS du système. Pour cela, il faut supprimer tous les points de restauration système et volumes Shadow qui existaient avant de restreindre l'accès à « %windir%\system32\config », puis de créer un nouveau point de restauration système.

Cette solution n'est que provisoire et préalable à un correctif. Elle n'est pas sans conséquence puisqu'elle peut avoir un impact sur certaines fonctionnalités du système, par exemple sur les opérations de restauration, « y compris la possibilité de restaurer des données avec des applications de sauvegarde tierces ».

Pour empêcher l'exploitation de la vulnérabilité par un attaquant, Microsoft conseille aux utilisateurs de restreindre l'accès et de supprimer les clichés instantanés/versions précédentes.

Source : Microsoft

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (6)

caprikorn
En ce moment c’st toutes les semaines les failles
lapin-tfc
Depuis toujours et il y en aura d’autres, quand on est un OS fortement installé ca ne loupe pas
Francis7
Ce genre de failles existent aussi sur Linux. Microsoft en a fait les frais récemment avec son service client où les hackers ont exploité le /etc/password, entre autres et compagnie, pour dérober des données personnelles sur les clients.<br /> A ce propos, Microsoft accuse la Chine de cela mais cette dernière dément complètement et formellement.<br /> Bref, laissons les chocs des Titans aux Titans eux-mêmes.
mcbenny
Plutôt que de dire une nouvelle faille, une faille comblée, ou pas encore etc., on devrait parler de «&nbsp;failles de retard&nbsp;».<br /> MS est à 3 failles de retard (sous-entendu ils il y 3 failles non comblées à l’heure actuelle). Puis ils sortent un patch et annoncent «&nbsp;-1 !!!&nbsp;»<br /> Puis 2 jours plus tard «&nbsp;-4 :-(&nbsp;» etc.
vVD
Google n’a pas encore pensé à mettre une IA pour analyser le code à la recherche des bourdes de programmation ?<br /> C’est vrai, eux n’en font pas !<br /> ;-)))
ifebo
«&nbsp;la firme à la fenêtre&nbsp;».<br /> Si elle est à la fenêtre, qu’elle fasse un grand pas en avant !
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros
Une nouvelle faille de sécurité sur les Samsung Galaxy S22 et Google Pixel 6, comment faire pour l'éviter ? Une nouvelle faille de sécurité sur les Samsung Galaxy S22 et Google Pixel 6, comment faire pour l'éviter ?
Windows 10 / Windows 11 : une faille critique 0-day laissée sans correctif par Microsoft Windows 10 / Windows 11 : une faille critique 0-day laissée sans correctif par Microsoft
Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois
Alerte chez PrestaShop : cette faille 0-day permet de voler les informations de paiement des utilisateurs Alerte chez PrestaShop : cette faille 0-day permet de voler les informations de paiement des utilisateurs