Auteur Sujet: Faille CVE 2021-36934 : Base SAM accessible en lecture aux utilisateurs  (Lu 1558 fois)

0 Membres et 1 Invité sur ce sujet

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Bonjour,

Il y a 2 jours, sur twitter, est révélé une faille dans les permissions sur des parties sensibles du système, notamment la base SAM qui contient les mots de passes, qui est devenu accessible en lecture aux utilisateurs courants. Et ce depuis windows 10 1809. Cependant, pour une raison encore inconnue, certains systèmes ne sont pas touchés.

De ce fait via quelques manipulations simples, moyennant un accès à la session utilisateur, il est possible de réinitialiser les mots de passe, ou encore de créer un utilisateur avec tous les droits.

La faille est confirmée par Microsoft avec une solution de contournement en attendant le patch : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Un exemple d'exploitation par Benjamin Delpy : https://twitter.com/gentilkiwi
 


Pour savoir si vous êtes touchés, lancer un terminal en mode administrateur et taper :
icacls C:\Windows\System32\config\SAM
Si vous avez la ligne BUILTIN\Utilisateurs:(I) (RX), comme sur la capture ci dessous, la machine est vulnérable.

Le patch consiste à réinitialiser les permissions avec un droit de lecture/ecriture aux administrateurs et au système seul avec cette commande :
icacls %windir%\system32\config\*.* /inheritance:e
Il faut aussi par précaution supprimer tous les points de restauration créées, car sinon un pirate pourra toujours aller les lire et récupérer les informations.



eahlys

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 1 099
  • Shadow AS64476 & AS396919
Faille CVE 2021-36934 : Base SAM accessible en lecture aux utilisateurs
« Réponse #1 le: 22 juillet 2021 à 17:20:40 »
Ça veut dire qu’on a même plus besoin de kon-boot ?
En voilà une super nouvelle !

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 170
  • Delta S 10G-EPON sur Les Ulis (91)
Faille CVE 2021-36934 : Base SAM accessible en lecture aux utilisateurs
« Réponse #2 le: 22 juillet 2021 à 18:25:46 »
Décidément beaucoup d'alertes de sécurité dernièrement sous windows. Heureusement, celle-là est locale.
Celle sur le print spooler est plus embêtante (exploitation à distance).