{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Windows toutes versions","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2018-09-17","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n\n## Contournement provisoire\n\nDans l'attente d'un correctif de la part de Microsoft, le CERT-FR\npropose de bloquer l'acc\u00e8s en \u00e9criture au r\u00e9pertoire\n*C:\\\\Windows\\\\Tasks* par le biais d'une *Access Control Entry* (ACE).\n\nCette mesure est restrictive mais permet d'\u00e9viter la cr\u00e9ation du lien\nmat\u00e9riel. Cela bloque donc de fait l'utilisation de la vuln\u00e9rabilit\u00e9\npour acqu\u00e9rir des privil\u00e8ges *System*.\n\nCette mesure est r\u00e9versible et peut \u00eatre d\u00e9sactiv\u00e9e le temps de cr\u00e9er un\nnouvelle t\u00e2che l\u00e9gitime.\n\nAvec l'interface graphique, positionner une ACE sur le r\u00e9pertoire\n*C:\\\\Windows\\\\Tasks* avec les propri\u00e9t\u00e9s suivantes :\n\n-   Type : Deny\n-   Principal : EveryOne\n-   Apply to: This folder, subfolders and files\n-   Rights : 'Create files / write data' et 'Create folders / append\n    data'\n\n\u00a0\n\nEn ligne de commande :\n\n\\[pastacode lang=\"c\"\nmanual=\"cacls%20c%3A%5CWindows%5CTasks%20%2FS%3A%22D%3APAI(D%3BOICI%3BDCLC%3B%3B%3BWD)(A%3B%3B0x1200ab%3B%3B%3BAU)(A%3B%3BFA%3B%3B%3BBA)(A%3BOICIIO%3BGA%3B%3B%3BBA)(A%3B%3BFA%3B%3B%3BSY)(A%3BOICIIO%3BGA%3B%3B%3BSY)(A%3BOICIIO%3BGA%3B%3B%3BCO)%22\"\nmessage=\"\" highlight=\"\" provider=\"manual\"/\\]\n\nLa d\u00e9sactivation de la mesure de contournement consiste \u00e0 enlever l'ACE\nd'interdiction ou en remettant les droits d'origine sur le r\u00e9pertoire\n*C:\\\\Windows\\\\Tasks*\n\n\\[pastacode lang=\"c\"\nmanual=\"cacls%20c%3A%5CWindows%5CTasks%20%2FS%3A%22D%3APAI(A%3B%3B0x1200ab%3B%3B%3BAU)(A%3B%3BFA%3B%3B%3BBA)(A%3BOICIIO%3BGA%3B%3B%3BBA)(A%3B%3BFA%3B%3B%3BSY)(A%3BOICIIO%3BGA%3B%3B%3BSY)(A%3BOICIIO%3BGA%3B%3B%3BCO)%22\"\nmessage=\"\" highlight=\"\" provider=\"manual\"/\\]\n","cves":[],"links":[{"title":"Vulnerability Note VU#906424","url":"https://www.kb.cert.org/vuls/id/906424"},{"title":"Avis CERT-FR CERTFR-2018-AVI-436","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-436/"},{"title":"Recommandations pour la mise en \u0153uvre d\u2019une politique de restrictions logicielles sous Windows","url":"https://www.ssi.gouv.fr/uploads/2013/12/np_applocker_notetech-v2.pdf"},{"title":"MSDN Discretionary Access Control Lists (DACLs) and Access Control Entries (ACEs)","url":"https://msdn.microsoft.com/en-us/library/cc246052.aspx"}],"reference":"CERTFR-2018-ALE-009","revisions":[{"description":"Version initiale","revision_date":"2018-08-29T00:00:00.000000"},{"description":"cl\u00f4ture de l'alerte","revision_date":"2018-09-17T00:00:00.000000"}],"risks":[{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Le 27 ao\u00fbt 2018, un utilisateur a publi\u00e9 sur Twitter l'existence d'une\nvuln\u00e9rabilit\u00e9 de type \u00e9l\u00e9vation de privil\u00e8ges ainsi qu'un lien vers un\nd\u00e9p\u00f4t GitHub contenant le code d'attaque exploitant cette vuln\u00e9rabilit\u00e9.\nCe code est stable et facilement adaptable.\n\nSi la preuve de concept ne fonctionne en l'\u00e9tat que sur les versions 64\nbits de Windows, la vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans toutes les versions\nde Windows (de Windows 7 \u00e0 Windows 10, Windows Server 2008 R2 \u00e0 Windows\nServer 2016).\n\nCette vuln\u00e9rabilit\u00e9 provient du planificateur de t\u00e2ches, plus\npr\u00e9cis\u00e9ment de l'interface\u00a0*RPC ITaskSchedulerService.*\n\nParmi les fonctions export\u00e9es par cette interface RPC, la fonction\n*SchRpcSetSecurity* permet de fixer arbitrairement un descripteur de\ns\u00e9curit\u00e9 (*Discretionary access control lists* ou DACLs) pour un fichier\ncontenu dans le r\u00e9pertoire *C:\\\\Windows\\\\Tasks*.\n\nComme tout le monde peut \u00e9crire dans le r\u00e9pertoire *C:\\\\Windows\\\\Tasks*,\nil est possible de cr\u00e9er un lien non brisable (*hard link*) vers\nn'importe quel autre fichier sur lequel on poss\u00e8de les droits en\nlecture. Lorsque la fonction *SchRpcSetSecurity* est appel\u00e9e, la DACL du\nfichier point\u00e9 par le lien est remplac\u00e9e par celle sp\u00e9cifi\u00e9e lors de\nl'appel \u00e0 la fonction *SchRpcSetSecurity*. Cette action est r\u00e9alis\u00e9e\navec le niveau de privil\u00e8ge *System*.\n\nCette vuln\u00e9rabilit\u00e9 ne s'exploite que localement, elle peut toutefois\n\u00eatre combin\u00e9e avec une vuln\u00e9rabilit\u00e9 d'ex\u00e9cution de code \u00e0 distance.\n\nLe CERT-FR rappelle ici l'importance d'installer les correctifs de\ns\u00e9curit\u00e9 dans les plus bref d\u00e9lais lorsque ceux-ci sont disponibles.\n\nJusqu'\u00e0 ce que cette vuln\u00e9rabilit\u00e9 soit corrig\u00e9e, on peut consid\u00e9rer que\nsi un attaquant arrive \u00e0 ex\u00e9cuter du code sur une machine, il sera en\nmesure d'obtenir une compromission totale \u00e0 moindre co\u00fbt.\n","title":"Vuln\u00e9rabilit\u00e9 dans Microsoft Windows","vendor_advisories":[{"published_at":null,"title":"Alerte de s\u00e9curit\u00e9 CERT/CC VU#906424 du 27 ao\u00fbt 2018","url":null}]}