Elévation de privilèges affectant Microsoft Windows – CVE-2021-36934

Le 20 juillet 2021, Microsoft a publié un bulletin de sécurité concernant la vulnérabilité CVE-2021-36934 affectant plusieurs versions de son système d’exploitation. Cette vulnérabilité est liée à une mauvaise configuration des droits d’accès pour les fichiers présents dans le dossier %windir%\system32\config\ qui permet in fine à un utilisateur authentifié d’accéder aux fichiers des ruches du Registre, en particulier celui de la base SAM contenant les utilisateurs et les empreintes des mots de passe des comptes locaux ainsi qu’aux fichiers des ruches « SYSTEM » et « SECURITY » (qui contient le mot de passe de la machine si cette dernière est membre d’un domaine Active Directory).

Bien que les droits d’accès soient erronés, ces fichiers sont verrouillés et donc inaccessibles à l’utilisateur. Cependant, les clichés instantanés de ces fichiers, réalisés par le mécanisme Volume Shadow Copy (VSS), conservent les droits d’accès configurés, il est donc possible d’accéder en lecture au contenu de ces fichiers via les copies de sauvegarde. Un utilisateur non privilégié est alors en mesure de récupérer les secrets d’authentification, en particulier ceux des comptes locaux comme le compte d’administrateur local ainsi que le compte de l’ordinateur, lui permettant donc d’élever ses privilèges.

Le CERT-FR a pu vérifier que les versions suivantes sont affectées :

  • Windows 10, version 1809
  • Windows 10, version 1903
  • Windows 10, version 1909
  • Windows 10, version 2004
  • Windows 10, version 20H2
  • Windows 10, version 21H1
  • Windows Vista RTM

L’éditeur indique que les versions suivantes seraient également affectées :

  • Windows Server 2019
  • Windows Server, version 2004
  • Windows Server, version 20H2

Cependant, le CERT-FR ne fait pas le même constat sur des versions fraîchement installées de ces produits (*).

L’éditeur a récemment annoncé que le correctif devrait être publié lors du prochain Patch Tuesday, le 10 août 2021. Dans l’attente de ce correctif, des contournements sont proposés dans son bulletin de sécurité ([1]) :

  • supprimer les clichés instantanés VSS ainsi que les points de restauration ;
  • modifier les listes de contrôles d’accès (ACL) pour sécuriser l’accès aux fichiers du dossier %windir%\system32\config\
  • effectuer un nouveau point de restauration si besoin

Le CERT-FR souhaite souligner que la suppression des clichés instantanés VSS peut avoir des effets indésirables sur les logiciels de sauvegarde s’appuyant sur le mécanisme de shadow copy.

L’application de ces contournements doit donc être décidée après évaluation des avantages et inconvénients au regard des risques, notamment parce qu’il peut exister d’autres possibilités d’escalade de privilèges en fonction du niveau de sécurité de votre système d’information.

Référence documentaire : [1] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36934


(*) Le CERT-FR a réalisé plusieurs tests afin de vérifier la présence de la vulnérabilité dans les différentes versions du système d’exploitation Windows. Le premier test portait sur les versions d’installation de base du système Windows, en commençant par Windows XP et Windows 2000 jusqu’aux dernières versions Windows 10 et Windows Server. Partant des résultats précédents, un second test a été réalisé pour vérifier la présence de la vulnérabilité avant et après une montée de version.

Les systèmes suivants sont vulnérables dès leur installation depuis un ISO officiel :

Installation Build ISO utilisé
Windows Vista 6.0.6000 RTM
Windows 10 1809 10.0.17763.1 Mise à jour de septembre 2018 (pre-RTM)
Windows 10 1809 10.0.17763.316 RTM
Windows 10 LTSC 2019 10.0.17763.316 RTM
Windows 10 1903 10.0.18362.30 RTM
Windows 10 1909 10.0.18363.418 RTM
Windows 10 2004 10.0.19041.208 RTM
Windows 10 20H2 10.0.19042.508 RTM
Windows 10 21H1 10.0.19043.928 RTM

A noter :

  • les ISO proviennent directement de MSDN ;
  • les ISO de Windows 10 postérieurs à la RTM (c’est-à-dire ceux qui sont mis à jour mensuellement) n’ont pas été testés individuellement ;
  • les tests ont été réalisés sur des installations effectuées hors ligne sans recherche de mise à jour ;
  • toutes les autres versions de Windows serveur ou client provenant d’ISO RTM ou d’ISO incluant des service packs publiés sur MSDN ne sont pas vulnérables.

Chemins de mise à jour testés :

Installation source Version destination Etat avant mise à niveau Etat après mise à niveau
Windows 10 1507 RTM Windows 10 1809 RTM Non vulnérable Vulnérable
Windows 10 1511 RTM Windows 10 1809 RTM Non vulnérable Vulnérable
Windows 10 1607 RTM Windows 10 1809 RTM Non vulnérable Vulnérable
Windows 10 1703 RTM Windows 10 1809 RTM Non vulnérable Vulnérable
Windows 10 1709 RTM Windows 10 1809 RTM Non vulnérable Vulnérable
Windows 10 1803 RTM Windows 10 1809 RTM Non vulnérable Vulnérable
Windows 10 1809 RTM Windows 10 20H2 RTM Vulnérable Vulnérable
Windows 10 1903 RTM Windows 10 20H2 RTM Vulnérable Vulnérable
Windows 10 1909 RTM Windows 10 20H2 RTM Vulnérable Vulnérable
Windows 10 2004 RTM Windows 10 20H2 RTM Vulnérable Vulnérable
Windows 10 20H2 RTM Windows 10 21H1 via Enablement package Vulnérable Vulnérable

Les conditions suivantes ont été suivies pour les tests :

  • les mises à niveau sont appliquées hors ligne ;
  • les mises à niveau sont appliquées par l’ISO d’installation Windows et non par Windows Update / WSUS, sauf pour la mise à niveau 21H1 ;
  • les mises à niveau sont appliquées en demandant la conservation des paramètres systèmes et des applications, ce qui conserve les bases de registre de l’OS d’origine ;
  • le choix de 1809 et de 20H2 comme cible a été fait car ce sont les deux versions les plus répandues en environnement professionnel en raison de leur support plus long que 21H1 par exemple.

Pour information, le détail des résultats est disponible dans le fichier ci-joint.


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

 

Rappel des avis émis

Dans la période du 12 au 18 juillet 2021, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :