learn.hack.repeat

Étiquette : Microsoft

CVE-2021-36934

de

On 21/07/2021

dans CVE, Sécurité

Un autre bug légèrement absurde dans Windows. Il semble que depuis la version 1809 de Windows, une autorisation de lecture de l’utilisateur se soit glissée dans le fichier SAM et les fichiers qui représentent les branches de registre SYSTEM et SECURITY.Qu’est-ce que cela signifie ? Cela signifie que tout utilisateur peut accéder au fichier et obtenir les hachages NTLM des mots de passe. Est-ce sérieux ? Oui, parce que :

  • Ce fichier ne doit pas être accessible, uniquement par les administrateurs et le SYSTEM.
  • Même si les mots de passe sont cryptés, ils peuvent être craqués. Et sinon, les hachages bruts peuvent être utilisés pour accéder à des sites de réseau, par exemple, en plus d’autres techniques connues où ils peuvent être utilisés comme mots de passe. Même le mot de passe de l’administrateur pourrait être modifié en ne connaissant que le hash.
  • Bien qu’un utilisateur ne puisse pas accéder au SAM verrouillé s’il n’est pas administrateur, d’autres techniques peuvent être utilisées pour le contourner et tirer parti de cette autorisation d’écriture erronée. Le plus simple est d’accéder à la copie automatique effectuée par le système de copie d’ombre de Windows.
  • Pas seulement avec le SAM. Avec l’accès au SYSTEM et à la SECURITY, il est également possible d’avoir beaucoup de contrôle sur le système.

Microsoft a reconnu la faille avec CVE-2021-36934, et a publié une mesure d’atténuation sous la forme d’une commande qui supprime cette permission et qui doit être exécutée en tant qu’administrateur.

icacls %windir%\system32\config*.* /inheritance:e

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Print Nightmare

de

On 07/07/2021

dans CVE, Sécurité

Microsoft a été tellement pressé de publier un correctif pour #printNightmare, qu’il n’a pas attendu toutes les versions. « Updates are not yet available for Windows 10 1607, Server 2016, or Server 2012 ». Quoi qu’il en soit, il reste moins d’une semaine dans le cycle normal de juillet et il est possible que le correctif soit complet d’ici là.

Il semble que le correctif KB5005010 ne corrige pas non plus complètement la vulnérabilité principale, mais tente simplement d’empêcher le chargement des imprimantes sur le réseau en filtrant le chemin UNC lorsque Point&Print est configuré.

Le correctif comprend en outre une clé de registre configurable RestrictDriverInstallationToAdministrators pour restreindre davantage l’installation.

Plus d’information:
https://support.microsoft.com/es-es/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Patch Tuesday

de

On 12/06/2021

dans CVE, Sécurité

La correction de seulement 55 bugss est une anomalie pour un Patch Tuesday de Microsoft, alors que l’entreprise en corrige plus de 100 chaque mois depuis un certain temps :

  • Les bugs d’Exchange continuent d’être corrigés. Cinq cette fois. L’un d’eux était déjà connu.
  • Il y a quatre critiques. Le plus important dans l’implémentation de la pile de protocole HTTP (http.sys) qui permettrait l’exécution de code sur le serveur. C’est un problème inquiétant. Les autres sont hyper-V, OLE Automation, et le moteur de script d’IE 11.
  • Il ne faut pas oublier que la faille HTTP affecte également Windows 10. Il convient de souligner qu’il ne s’agit pas d’un problème lié à IIS mais au système d’exploitation.
  • Une autre vulnérabilité importante sur laquelle peu d’informations ont été publiées est une faille dans le système Wireless qui permettrait de divulguer des informations.

Plus d’information:
https://msrc.microsoft.com/update-guide

Patch Tuesday

de

On 09/06/2021

dans CVE, Sécurité

Ce mois-ci, nous avons moins de vulnérabilités (50, soit la moitié de ce qui a été corrigé chaque mois dernièrement) mais en contrepartie, beaucoup plus de vulnérabilités critiques : cinq. Et pour ne rien arranger, six vulnérabilités sont déjà exploitées par des attaquants. Il s’agit principalement d’élévations de privilèges. Dans la bibliothèque DWM Core, dans NTFS, dans le noyau et dans le Microsoft Enhanced Cryptographic Provider. Ce dernier est une exécution de code à distance sur la plateforme MSHTML.

Les deux bugs liés au Microsoft Enhanced Cryptographic Provider sont liés à un problème grave qu’Adobe a récemment corrigé (CVE-2021-28550) et qui était exploité par des attaquants envoyant des PDF permettant l’exécution de code.

Une autre faille à noter concerne Kerberos, car un attaquant pourrait contourner l’authentification.
Enfin, un problème d’exécution de code dans Defender, qui est facile à exploiter.

Plus d’information:
https://msrc.microsoft.com/update-guide

Trick or Treat – Trickbot vs Microsoft

de

On 20/10/2020

dans Sécurité

Le 12 octobre, Microsoft a mené une opération visant à démanteler Trickbot en vertu d’une décision de justice, accordée à l’approche de l’élection présidentielle américaine prévue le 3 novembre, où les ransomwares constituent une préoccupation majeure.

Entre autres motifs d’allégation au cours de l’affaire, Microsoft a inclus le droit d’auteur contre l’utilisation malveillante de son logiciel par Trickbot, créant ainsi un précédent qui pourrait accélérer les actions futures. Microsoft et d’autres entreprises, dont ESET, Black Louts Labs de Lumen, NTT Ltd. et Symantec, ont reçu l’autorisation de désactiver les adresses IP utilisées par les serveurs C&C, de perturber l’accès au contenu stocké sur les serveurs concernés, de suspendre les services aux opérateurs du botnet et de bloquer toute tentative des opérateurs de Trickbot d’acheter ou de louer de nouveaux serveurs.

Trickbot se caractérise par un logiciel malveillant modulaire composé généralement d’un module d’encapsulation, d’un chargeur et d’un module principal. Il permet l’utilisation de différents modules/plugins qui sont étendus dans les versions successives pour améliorer les fonctionnalités. L’enveloppe est utilisée pour échapper aux techniques de détection en exécutant le chargeur en mémoire, ce qui prépare l’ordinateur à l’exécution du logiciel malveillant principal. Les modules Trickbot permettent, entre autres fonctions, d’obtenir des informations sur le système et le réseau de l’ordinateur compromis, de voler des données et des informations d’identification, d’exécuter des commandes et de se propager à d’autres réseaux. En outre, les opérateurs de Trickbot peuvent installer des outils supplémentaires tels que Cobalt Strike, et utiliser PowerShell Empire, PSExec et AdFind pour installer d’autres logiciels malveillants sur l’ordinateur, tels que le célèbre ransomware Ryuk, qui a fait de nombreuses victimes parmi les centres de recherche médicale, les hôpitaux et les universités.

L’un des plus anciens plugins utilisés par Trickbot est le web inject, qui permet au malware de modifier dynamiquement le site Web visité par l’ordinateur compromis. Pour fonctionner, ce plugin utilise des fichiers de configuration spécifiques à un ensemble de sites web, la plupart des fichiers identifiés ciblant des institutions financières selon le rapport publié par ESET, qui établit également un lien entre ce fonctionnement et la flexibilité offerte par Trickbot et le ransomware.

D’autre part, le rapport publié par Microsoft met en évidence de multiples campagnes Trickbot simultanées identifiées au cours du mois de juin, où la complexité de l’utilisation des techniques renforce la conviction qu’elle est utilisée par des groupes organisés. C’est précisément le résultat de ces recherches, ainsi que les craintes que le ransomware n’entache l’élection présidentielle de novembre, qui ont incité à prendre des mesures pour neutraliser le logiciel malveillant.

Page 8 of 8

Précédent

Fièrement propulsé par WordPress & Thème par Anders Norén