Elévation de privilèges affectant Microsoft Windows - CVE-2021-36934
Le 20 juillet 2021, Microsoft a publié un bulletin de sécurité concernant la vulnérabilité CVE-2021-36934 affectant plusieurs versions de son système d’exploitation. Cette vulnérabilité est liée à une mauvaise configuration des droits d’accès pour les fichiers présents dans le dossier %windir%\system32\config\ qui permet in fine à un utilisateur authentifié d’accéder aux fichiers des ruches du Registre, en particulier celui de la base SAM contenant les utilisateurs et les empreintes des mots de passe des comptes locaux ainsi qu’aux fichiers des ruches « SYSTEM » et « SECURITY » (qui contient le mot de passe de la machine si cette dernière est membre d’un domaine Active Directory).Bien que les droits d’accès soient erronés, ces fichiers sont verrouillés et donc inaccessibles à l’utilisateur. Cependant, les clichés instantanés de ces fichiers, réalisés par le mécanisme Volume Shadow Copy (VSS), conservent les droits d’accès configurés, il est donc possible d’accéder en lecture au contenu de ces fichiers via les copies de sauvegarde. Un utilisateur non privilégié est alors en mesure de récupérer les secrets d’authentification, en particulier ceux des comptes locaux comme le compte d’administrateur local ainsi que le compte de l’ordinateur, lui permettant donc d’élever ses privilèges.
Le CERT-FR a pu vérifier que les versions suivantes sont affectées :
- Windows 10, version 1809
- Windows 10, version 1903
- Windows 10, version 1909
- Windows 10, version 2004
- Windows 10, version 20H2
- Windows 10, version 21H1
- Windows Vista RTM
- Windows Server 2019
- Windows Server, version 2004
- Windows Server, version 20H2
L’éditeur a récemment annoncé que le correctif devrait être publié lors du prochain Patch Tuesday, le 10 août 2021. Dans l’attente de ce correctif, des contournements sont proposés dans son bulletin de sécurité ([1]) :
- supprimer les clichés instantanés VSS ainsi que les points de restauration ;
- modifier les listes de contrôles d’accès (ACL) pour sécuriser l’accès aux fichiers du dossier %windir%\system32\config\
- effectuer un nouveau point de restauration si besoin
L’application de ces contournements doit donc être décidée après évaluation des avantages et inconvénients au regard des risques, notamment parce qu’il peut exister d’autres possibilités d’escalade de privilèges en fonction du niveau de sécurité de votre système d’information.
Référence documentaire : [1] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36934
(*) Le CERT-FR a réalisé plusieurs tests afin de vérifier la présence de la vulnérabilité dans les différentes versions du système d’exploitation Windows. Le premier test portait sur les versions d’installation de base du système Windows, en commençant par Windows XP et Windows 2000 jusqu’aux dernières versions Windows 10 et Windows Server. Partant des résultats précédents, un second test a été réalisé pour vérifier la présence de la vulnérabilité avant et après une montée de version.
Les systèmes suivants sont vulnérables dès leur installation depuis un ISO officiel :
Installation | Build | ISO utilisé |
Windows Vista | 6.0.6000 | RTM |
Windows 10 1809 | 10.0.17763.1 | Mise à jour de septembre 2018 (pre-RTM) |
Windows 10 1809 | 10.0.17763.316 | RTM |
Windows 10 LTSC 2019 | 10.0.17763.316 | RTM |
Windows 10 1903 | 10.0.18362.30 | RTM |
Windows 10 1909 | 10.0.18363.418 | RTM |
Windows 10 2004 | 10.0.19041.208 | RTM |
Windows 10 20H2 | 10.0.19042.508 | RTM |
Windows 10 21H1 | 10.0.19043.928 | RTM |
- les ISO proviennent directement de MSDN ;
- les ISO de Windows 10 postérieurs à la RTM (c'est-à-dire ceux qui sont mis à jour mensuellement) n’ont pas été testés individuellement ;
- les tests ont été réalisés sur des installations effectuées hors ligne sans recherche de mise à jour ;
- toutes les autres versions de Windows serveur ou client provenant d’ISO RTM ou d’ISO incluant des service packs publiés sur MSDN ne sont pas vulnérables.
Chemins de mise à jour testés :
Installation source | Version destination | Etat avant mise à niveau | Etat après mise à niveau |
Windows 10 1507 RTM | Windows 10 1809 RTM | Non vulnérable | Vulnérable |
Windows 10 1511 RTM | Windows 10 1809 RTM | Non vulnérable | Vulnérable |
Windows 10 1607 RTM | Windows 10 1809 RTM | Non vulnérable | Vulnérable |
Windows 10 1703 RTM | Windows 10 1809 RTM | Non vulnérable | Vulnérable |
Windows 10 1709 RTM | Windows 10 1809 RTM | Non vulnérable | Vulnérable |
Windows 10 1803 RTM | Windows 10 1809 RTM | Non vulnérable | Vulnérable |
Windows 10 1809 RTM | Windows 10 20H2 RTM | Vulnérable | Vulnérable |
Windows 10 1903 RTM | Windows 10 20H2 RTM | Vulnérable | Vulnérable |
Windows 10 1909 RTM | Windows 10 20H2 RTM | Vulnérable | Vulnérable |
Windows 10 2004 RTM | Windows 10 20H2 RTM | Vulnérable | Vulnérable |
Windows 10 20H2 RTM | Windows 10 21H1 via Enablement package | Vulnérable | Vulnérable |
- les mises à niveau sont appliquées hors ligne ;
- les mises à niveau sont appliquées par l’ISO d’installation Windows et non par Windows Update / WSUS, sauf pour la mise à niveau 21H1 ;
- les mises à niveau sont appliquées en demandant la conservation des paramètres systèmes et des applications, ce qui conserve les bases de registre de l’OS d’origine ;
- le choix de 1809 et de 20H2 comme cible a été fait car ce sont les deux versions les plus répandues en environnement professionnel en raison de leur support plus long que 21H1 par exemple.
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.