learn.hack.repeat

CVE-2021-36934

de

On 21/07/2021

dans CVE, Sécurité

Un autre bug légèrement absurde dans Windows. Il semble que depuis la version 1809 de Windows, une autorisation de lecture de l’utilisateur se soit glissée dans le fichier SAM et les fichiers qui représentent les branches de registre SYSTEM et SECURITY.Qu’est-ce que cela signifie ? Cela signifie que tout utilisateur peut accéder au fichier et obtenir les hachages NTLM des mots de passe. Est-ce sérieux ? Oui, parce que :

  • Ce fichier ne doit pas être accessible, uniquement par les administrateurs et le SYSTEM.
  • Même si les mots de passe sont cryptés, ils peuvent être craqués. Et sinon, les hachages bruts peuvent être utilisés pour accéder à des sites de réseau, par exemple, en plus d’autres techniques connues où ils peuvent être utilisés comme mots de passe. Même le mot de passe de l’administrateur pourrait être modifié en ne connaissant que le hash.
  • Bien qu’un utilisateur ne puisse pas accéder au SAM verrouillé s’il n’est pas administrateur, d’autres techniques peuvent être utilisées pour le contourner et tirer parti de cette autorisation d’écriture erronée. Le plus simple est d’accéder à la copie automatique effectuée par le système de copie d’ombre de Windows.
  • Pas seulement avec le SAM. Avec l’accès au SYSTEM et à la SECURITY, il est également possible d’avoir beaucoup de contrôle sur le système.

Microsoft a reconnu la faille avec CVE-2021-36934, et a publié une mesure d’atténuation sous la forme d’une commande qui supprime cette permission et qui doit être exécutée en tant qu’administrateur.

icacls %windir%\system32\config*.* /inheritance:e

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Print Nightmare

de

On 07/07/2021

dans CVE, Sécurité

Microsoft a été tellement pressé de publier un correctif pour #printNightmare, qu’il n’a pas attendu toutes les versions. « Updates are not yet available for Windows 10 1607, Server 2016, or Server 2012 ». Quoi qu’il en soit, il reste moins d’une semaine dans le cycle normal de juillet et il est possible que le correctif soit complet d’ici là.

Il semble que le correctif KB5005010 ne corrige pas non plus complètement la vulnérabilité principale, mais tente simplement d’empêcher le chargement des imprimantes sur le réseau en filtrant le chemin UNC lorsque Point&Print est configuré.

Le correctif comprend en outre une clé de registre configurable RestrictDriverInstallationToAdministrators pour restreindre davantage l’installation.

Plus d’information:
https://support.microsoft.com/es-es/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Crackonosh

de

On 29/06/2021

dans Malware

Le malware Crackonosh est surprenant non pas par son objectif ou sa formule de propagation, mais par sa technique pour passer inaperçu. Pour se propager, il utilise les cracks typiques et les téléchargements « warez » que l’utilisateur exécute lui-même, parfois même en mode administrateur. Sa formule pour atteindre l’utilisateur n’est donc pas très intéressante. Cependant, une fois exécuté, il modifie le système pour qu’il fonctionne en mode sans échec et redémarre en mode sans échec. Dans ce mode, Windows lance le strict minimum (y compris les pilotes) pour fonctionner et ne lance donc pas le système antivirus. Une fois dans ce mode, désactivez Defender et voyez s’il existe un autre antivirus pour le neutraliser également. Au prochain redémarrage « normal », ils ne fonctionneront plus.

Il désactive également les mises à jour et place une fausse icône verte de « vérification » sur le système afin que l’utilisateur ne remarque rien d’anormal. Il est intéressant de noter qu’il n’utilise pas de commande et de contrôle, mais envoie des paquets UDP à des adresses IP aléatoires. S’il y trouve de nouvelles versions de lui-même, il se met à jour à partir de ce système infecté.

Enfin, il extrait du Monero en « empruntant » des ressources système sans être détecté. Cela lui a permis de ne pas être détecté depuis 2018.

Plus d’information:
https://decoded.avast.io/danielbenes/crackonosh-a-new-malware-distributed-in-cracked-software/

Patch Tuesday

de

On 12/06/2021

dans CVE, Sécurité

La correction de seulement 55 bugss est une anomalie pour un Patch Tuesday de Microsoft, alors que l’entreprise en corrige plus de 100 chaque mois depuis un certain temps :

  • Les bugs d’Exchange continuent d’être corrigés. Cinq cette fois. L’un d’eux était déjà connu.
  • Il y a quatre critiques. Le plus important dans l’implémentation de la pile de protocole HTTP (http.sys) qui permettrait l’exécution de code sur le serveur. C’est un problème inquiétant. Les autres sont hyper-V, OLE Automation, et le moteur de script d’IE 11.
  • Il ne faut pas oublier que la faille HTTP affecte également Windows 10. Il convient de souligner qu’il ne s’agit pas d’un problème lié à IIS mais au système d’exploitation.
  • Une autre vulnérabilité importante sur laquelle peu d’informations ont été publiées est une faille dans le système Wireless qui permettrait de divulguer des informations.

Plus d’information:
https://msrc.microsoft.com/update-guide

Patch Tuesday

de

On 09/06/2021

dans CVE, Sécurité

Ce mois-ci, nous avons moins de vulnérabilités (50, soit la moitié de ce qui a été corrigé chaque mois dernièrement) mais en contrepartie, beaucoup plus de vulnérabilités critiques : cinq. Et pour ne rien arranger, six vulnérabilités sont déjà exploitées par des attaquants. Il s’agit principalement d’élévations de privilèges. Dans la bibliothèque DWM Core, dans NTFS, dans le noyau et dans le Microsoft Enhanced Cryptographic Provider. Ce dernier est une exécution de code à distance sur la plateforme MSHTML.

Les deux bugs liés au Microsoft Enhanced Cryptographic Provider sont liés à un problème grave qu’Adobe a récemment corrigé (CVE-2021-28550) et qui était exploité par des attaquants envoyant des PDF permettant l’exécution de code.

Une autre faille à noter concerne Kerberos, car un attaquant pourrait contourner l’authentification.
Enfin, un problème d’exécution de code dans Defender, qui est facile à exploiter.

Plus d’information:
https://msrc.microsoft.com/update-guide

Page 26 of 28

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén