Cyberattaques alimentées par l'IA : Comment détecter, prévenir et se défendre contre les menaces intelligentes

Lire la suite
Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Domicile/ Blog / Escalade des privilèges vers l'utilisateur système sur Windows 10...
Gestion des Endpoint

Escalade de privilèges vers l'utilisateur système sur Windows 10 à l'aide de CVE-2019-1405 et CVE-2019-1322.

par OPSWAT
Partager cet article

Auteur : Vuong Doan Minh : Vuong Doan Minh, Ingénieur Software , OPSWAT

Introduction

L'escalade des privilèges est un type d'exploit qui permet à des acteurs malveillants d'obtenir des droits d'accès élevés aux ressources protégées d'une application ou d'un système d'exploitation.

Description de l'exploit

CVE-2019-1405 peut être utilisé pour élever les privilèges de n'importe quel utilisateur local vers l'utilisateur du service local.

CVE-2019-1322 peut être utilisé pour élever les privilèges de l'utilisateur du service local vers l'utilisateur du système local.

Par conséquent, la combinaison des deux CVE en un seul exploit permet d'élever les privilèges de n'importe quel utilisateur local à un utilisateur du système.

Ces vulnérabilités affectent les ordinateurs fonctionnant sous Microsoft Windows 10 1803 et supérieur qui n'ont pas été mis à jour avec le dernier correctif ou avec le patch de mise à jour de sécurité du 12 novembre 2019 [1][2].

Effet potentiel

C'est très dangereux pour les organisations car il existe de nombreux moyens d'accéder à n'importe quelle machine au sein d'une organisation. Par exemple, dans une organisation utilisant un contrôleur de domaine, tout utilisateur peut se connecter à n'importe quelle machine du domaine s'il y a un accès physique. Il ne peut accéder qu'aux données limitées à son compte d'utilisateur sur la machine. Mais en utilisant ces vulnérabilités, il peut créer des processus élevés pour :

  • Ajouter de nouveaux comptes d'utilisateurs au groupe Administration pour accéder aux ressources confidentielles.
  • Installer des portes dérobées et des programmes malveillants sur l'ordinateur de la victime en vue d'une exploitation ultérieure.
  • Visualiser, modifier ou supprimer des données.

Comment OPSWAT vous aide à détecter les vulnérabilités

MetaDefender Access peut détecter les appareils présentant des vulnérabilités et fournir des instructions de remédiation.

Après avoir installé MetaDefender EndpointMetaDefender Endpoint détectera les vulnérabilités sur les points d'accès et les signalera à MetaDefender Access. MetaDefender Access analysera les données et notifiera les utilisateurs finaux si une vulnérabilité est détectée, avec des instructions utiles pour remédier aux vulnérabilités détectées. Les administrateurs peuvent également gérer tous les dispositifs vulnérables via la console web de MetaDefender Access.

MetaDefender Core avec sa technologie d'file-based vulnerability assessment , peut détecter les vulnérabilités dans les fichiers binaires sur les points de terminaison. MetaDefender Core fournit des API qui peuvent être utilisées pour s'intégrer à d'autres services afin d'analyser les fichiers. Par exemple, l'analyse des fichiers entrant et sortant du réseau de votre organisation.

  • Si le fichier vulnérable se trouve parmi les fichiers système, c'est le signe que vous devez mettre à jour votre système.
  • Si le fichier vulnérable est un fichier de logiciel, vous devez mettre à jour votre logiciel ou envisager de le désinstaller temporairement.
  • Si un programme d'installation est vulnérable, vous ne devez l'installer sur aucune machine de votre organisation.
  • Si un fichier de bibliothèque dans votre projet est vulnérable, vous devez trouver la dernière version corrigée de la bibliothèque ou cesser de l'utiliser s'il n'y a pas de correctif pour les vulnérabilités.

Comment exploiter ?

Le code d'exploitation de cette vulnérabilité se trouve à l'adresse https://www.exploit-db.com/exploits/47684, en tant que module du cadre Metasploit de Rapid7 [3].

Démonstration d'un exploit:

  • Machine de l'attaquant : Kali Linux.
  • Machine victime : Windows 10 1803 x64
  • La démo suppose que l'attaquant a déjà accès à la machine de la victime.

Remédiation

Il est fortement recommandé de toujours maintenir Windows à jour, en particulier les mises à jour liées à la sécurité (KB) ; ou au moins d'appliquer les correctifs de sécurité jusqu'en novembre 2019.

Références

[1] "CVE-2019-1405 | Windows UPnP Service Elevation of Privilege Vulnerability". Disponible : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.

[2] "CVE-2019-1322 | Vulnérabilité d'élévation de privilèges de Microsoft Windows". Disponible : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.

[3] "Metasploit of Rapid7". Disponible : https://www.metasploit.com/

Tags :

Derniers messages

S'inscrire à la lettre d'information OPSWAT

Obtenez les dernières mises à jour de la société OPSWAT ainsi que des informations sur les événements et les nouvelles qui font avancer l'industrie OPSWAT les nouvelles qui font avancer l'industrie.
Signez-moi

Suivez-nous sur les réseaux sociaux Media

Suivez OPSWAT sur LinkedIn, Facebook, Twitter et YouTube pour en savoir plus !

Restez à jour avec OPSWAT!

Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise, de l'entreprise, des histoires, des informations sur les événements, et plus encore.
S'abonner