learn.hack.repeat

Étiquette : Vulnérabilité Page 14 of 15

CVE-2021-36934

de

On 21/07/2021

dans CVE, Sécurité

Un autre bug légèrement absurde dans Windows. Il semble que depuis la version 1809 de Windows, une autorisation de lecture de l’utilisateur se soit glissée dans le fichier SAM et les fichiers qui représentent les branches de registre SYSTEM et SECURITY.Qu’est-ce que cela signifie ? Cela signifie que tout utilisateur peut accéder au fichier et obtenir les hachages NTLM des mots de passe. Est-ce sérieux ? Oui, parce que :

  • Ce fichier ne doit pas être accessible, uniquement par les administrateurs et le SYSTEM.
  • Même si les mots de passe sont cryptés, ils peuvent être craqués. Et sinon, les hachages bruts peuvent être utilisés pour accéder à des sites de réseau, par exemple, en plus d’autres techniques connues où ils peuvent être utilisés comme mots de passe. Même le mot de passe de l’administrateur pourrait être modifié en ne connaissant que le hash.
  • Bien qu’un utilisateur ne puisse pas accéder au SAM verrouillé s’il n’est pas administrateur, d’autres techniques peuvent être utilisées pour le contourner et tirer parti de cette autorisation d’écriture erronée. Le plus simple est d’accéder à la copie automatique effectuée par le système de copie d’ombre de Windows.
  • Pas seulement avec le SAM. Avec l’accès au SYSTEM et à la SECURITY, il est également possible d’avoir beaucoup de contrôle sur le système.

Microsoft a reconnu la faille avec CVE-2021-36934, et a publié une mesure d’atténuation sous la forme d’une commande qui supprime cette permission et qui doit être exécutée en tant qu’administrateur.

icacls %windir%\system32\config*.* /inheritance:e

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Print Nightmare

de

On 07/07/2021

dans CVE, Sécurité

Microsoft a été tellement pressé de publier un correctif pour #printNightmare, qu’il n’a pas attendu toutes les versions. « Updates are not yet available for Windows 10 1607, Server 2016, or Server 2012 ». Quoi qu’il en soit, il reste moins d’une semaine dans le cycle normal de juillet et il est possible que le correctif soit complet d’ici là.

Il semble que le correctif KB5005010 ne corrige pas non plus complètement la vulnérabilité principale, mais tente simplement d’empêcher le chargement des imprimantes sur le réseau en filtrant le chemin UNC lorsque Point&Print est configuré.

Le correctif comprend en outre une clé de registre configurable RestrictDriverInstallationToAdministrators pour restreindre davantage l’installation.

Plus d’information:
https://support.microsoft.com/es-es/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Patch Tuesday

de

On 09/06/2021

dans CVE, Sécurité

Ce mois-ci, nous avons moins de vulnérabilités (50, soit la moitié de ce qui a été corrigé chaque mois dernièrement) mais en contrepartie, beaucoup plus de vulnérabilités critiques : cinq. Et pour ne rien arranger, six vulnérabilités sont déjà exploitées par des attaquants. Il s’agit principalement d’élévations de privilèges. Dans la bibliothèque DWM Core, dans NTFS, dans le noyau et dans le Microsoft Enhanced Cryptographic Provider. Ce dernier est une exécution de code à distance sur la plateforme MSHTML.

Les deux bugs liés au Microsoft Enhanced Cryptographic Provider sont liés à un problème grave qu’Adobe a récemment corrigé (CVE-2021-28550) et qui était exploité par des attaquants envoyant des PDF permettant l’exécution de code.

Une autre faille à noter concerne Kerberos, car un attaquant pourrait contourner l’authentification.
Enfin, un problème d’exécution de code dans Defender, qui est facile à exploiter.

Plus d’information:
https://msrc.microsoft.com/update-guide

Découverte d’une vulnérabilité critique dans VMWare vCenter

de

On 26/02/2021

dans CVE, Sécurité

Une vulnérabilité a récemment été découverte dans le logiciel vCenter Server de VMWare qui permet à un attaquant d’exécuter du code à distance.

Le logiciel vCenter Server développé par VMWare permet aux administrateurs système de gérer les machines virtuelles et les hôtes utilisés dans les environnements d’entreprise au moyen d’une console unique.

Pour gérer les différents hôtes et machines virtuelles, les administrateurs système utilisent le logiciel vCenter Client, qui est un client web (HTML5) qui effectue des requêtes à l’API fournie par vCenter Server. Pour utiliser le client, il est nécessaire que les administrateurs s’authentifient avec un utilisateur valide sur le système, cependant, la vulnérabilité ne nécessite pas d’authentification pour être exploitée.

Comme nous pouvons le voir dans le tweet suivant de PT SWARM, en faisant une simple requête HTTP à l’API vCenter, il est possible d’exploiter la vulnérabilité, avec laquelle un attaquant peut exécuter des commandes système et finalement exécuter du code malveillant. En outre, il est possible d’exploiter la vulnérabilité sans configuration spéciale, car le problème se produit également dans les configurations par défaut.

Imagen

Cette vulnérabilité a déjà été signalée (CVE-2021-21972) et corrigée par WMWare dans la dernière mise à jour qu’ils ont publiée. Il est fortement recommandé de passer à la dernière version de vCenter Server et vCenter Client dès que possible afin de s’assurer qu’aucun attaquant ne puisse exploiter cette vulnérabilité sur vos serveurs.

Plus d’information:
https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-rce-bug-in-all-default-vcenter-installs/

Guerre froide

de

On 31/01/2020

dans Sécurité

Il semble que l’ancienne guerre froide soit passée des bureaux et des grands panneaux de contrôle des armes nucléaires aux systèmes informatiques et aux réseaux de contrôle industriels – et de là aux téléphones portables. En 2009, Stuxnet a officiellement lancé le concept de cyberespace à des fins politiques et géostratégiques. Avec l’attentat contre Jeff Bezos, il semble qu’une étape soit en train de se consolider où, là où il faut, c’est dans les téléphones portables des puissants. Pour cela, il suffit d’une vulnérabilité qui permet l’exécution de code dans une application qui est très susceptible d’être utilisée avec des personnes de confiance… WhatsApp.

L’attaque de mobiles à cibles stratégiques était déjà connue en 2016 avec Pegasus. L’attaque des Bezos a ramené à l’actualité l’importance du mobile comme vecteur d’attaque. Pour les profils les plus puissants, des bogues logiciels tels que WhatsApp, qui était connu pour avoir jusqu’à 7 vulnérabilités critiques en 2019, sont recherchés. C’est un chiffre anormalement élevé par rapport aux années précédentes, ce qui peut indiquer l’intérêt pour cette plateforme.

Pour le reste des utilisateurs, le moyen d’attaque le plus courant est le logiciel publicitaire, qui est installé par les victimes elles-mêmes grâce à l’ingénierie sociale.

Plus d’information:
https://threatpost.com/bezos-whatsapp-cyberattacks-mobile-sophisticated/152357/

Page 14 of 15

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén