8 questions pour comprendre la vulnérabilité nommée SeriousSAM (aka HiveNightmare)

8 questions pour comprendre la vulnérabilité nommée SeriousSAM (aka HiveNightmare)

Cette semaine, le chercheur en sécurité Jonas Lyk a découvert une nouvelle vulnérabilité au sein de la dernière version de Windows 10. La faille de sécurité référencée CVE-2021-36934 provient d’une erreur au sein de la gestion des permissions sur les bases de registres SAM, SECURITY et SYSTEM. Dans cet article, vous découvrirez en 8 points toutes les informations nécessaires sur cette vulnérabilité baptisée HiveNightmare.

1. Qu’est-ce qu’une base de registre ?

Une base de registre est une base de données contenant principalement des informations de configuration du système d’exploitation Windows.

Elles se séparent en deux catégories principales :

  • Les bases relatives à la configuration de la machine (HKLM) ;
  • Les bases relatives à la configuration du profil utilisateur (HKCU), principalement contenues dans le fichier NTUSER.DAT.

2. Que contiennent les bases de registre SAM, SECURITY et SYSTEM ?

La SAM (Security Account Manager) contient l’ensemble des comptes locaux avec les mots de passe associés sous la forme de condensat ainsi que les comptes Active Directory mis en cache. Cette base peut être chiffrée via l’utilitaire syskey.

La base SECURITY stocke quant à elle les informations du système local liés notamment aux permissions des utilisateurs, la gestion des groupes ou encore la politique de mot de passe.

Enfin la base SYSTEM contient notamment la clé de chiffrement de la base SAM.

3. Qu’est que le VSS ?

Le VSS (Volume Shadow copy Service) est le mécanisme de sauvegarde et de restauration des données de Windows. Ce dernier fonctionne sur le principe de clichés instantanés. Ce dernier est activé par défaut sur les systèmes Windows.

4. Qu’est-ce que HiveNightmare ?

La vulnérabilité référencée CVE-2021-36934 réside dans une mauvaise application des droits d’accès sur les fichiers associés aux bases de registre SAM, SECURITY et SYSTEM. Par défaut ces fichiers ne doivent être accessibles qu’à des services ou utilisateurs privilégiés.

Suite à la dernière mise à jour de Juillet 2021, le chercheur en sécurité Jonas Lyk (@jonaslyk) a découvert que les permissions avaient été altérées et qu’un utilisateur sans droits spécifiques était en mesure d’accéder en lecture aux bases de registre.

Étant donné que la base SAM contient les mots de passe locaux, un attaquant pourrait récupérer le contenu de ce fichier et casser les condensats pour récupérer le mot de passe de l’administrateur local ou des comptes Active Directory s’étant connectés sur le poste.

Les bases de registre sont en cours d’utilisation pendant l’exécution du système et empêchent d’exploiter naïvement la vulnérabilité. Cependant, le mécanisme de sauvegarde de Windows (VSS) permet à un attaquant d’accéder directement à la SAM contenue dans une shadow copy.

5. La vulnérabilité est-elle facilement exploitable ? Des codes d’exploitation sont-ils disponibles ?

Utiliser les volumes de sauvegarde pour récupérer les bases de registre est un processus trivial. Par ailleurs, plusieurs codes d’exploitation ont été publiés cette semaine, notamment par Kevin Beaumont (https://github.com/GossiTheDog/HiveNightmare) .
Ces codes permettent d’automatiser la découverte des shadow volumes utilisées pour les backup ainsi que la récupération des bases de registre de ces volumes.

La vidéo ci-dessous démontre l’exploitation de la vulnérabilité.

6. Comment savoir si je suis affecté par la vulnérabilité ?

Les versions suivantes de Windows avec les correctifs de Juillet appliquées sont vulnérables par défaut.

  • Windows 10 Version 1809
  • Windows 10 Version 1909
  • Windows 10 Version 2004
  • Windows 10 Version 20H2
  • Windows 10 Version 21H1
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)
  • Windows Server, version 20H2 (Server Core Installation)

7. Comment se protéger contre l’exploitation de cette faille ?

Les codes d’exploitation actuels se basent uniquement sur l’accès aux shadow copies pour pouvoir récupérer les fichiers de registre.

Il est possible réappliquer les droits d’administration sur les bases de registre via la commande suivante :

icacls %windir%\system32\config\*.* /inheritance:e

L’éditeur recommande d’autre part de supprimer les shadow copies. Étant donné que ces dernières sont utilisées comme mécanismes de sauvegarde pour le système, nous recommandons d’être vigilant avant d’appliquer cette mesure qui pourrait rendre la récupération des données plus difficiles.

8. Dois-je appliquer les correctifs en urgence ?

Microsoft n’ayant pas publié de correctif actuellement, il n’est pas possible de corriger la vulnérabilité. Habituellement, Microsoft publie ses correctifs le deuxième mercredi de chaque mois.
Le CERT-XMCO recommande l’application des mesures de contournement en attendant la publication d’un correctif de sécurité.


Aurélien Denis

Analyste CERT-XMCO