Shadow

Vulnérabilité d’escalade de privilèges locaux dans Windows PsExec obtient un micropatch gratuit

 Un correctif gratuit de micropatch de la vulnérabilité LPE de Windows PsExec est maintenant disponible. Vous pouvez vérifier la même chose sur Opatch Platform.

L’outil de remplacement telnet que les utilisateurs utilisent pour lancer à distance des exécutables sur d’autres ordinateurs a été attrapé avec une vulnérabilité zero-day due au squattage de tuyaux.

Le détournement de tuyau permet aux attaquants de tromper psExec pour qu’il rouvre un tuyau malveillant et lui donne des autorisations sur le système local. Après l’exploit, ils reprennent complètement le système.

Explique Mitja Kolsek, PDG d’ACROS Security et co-fondateur d’Opatch; « les administrateurs lancent à distance des exécutables en utilisant PsExec (ou des outils de gestion utilisant PsExec) si la machine a déjà un attaquant non-administrateur qui tente d’élever ses privilèges »

David Wells, chercheur de logiciels malveillants tenable, a découvert cette vulnérabilité et l’a divulguée publiquement le 9 décembre 2020, après 90 ans lorsque Microsoft en a été informé et que le développeur du système d’exploitation Windows n’a pas réussi à trouver le correctif.

Eh bien explique; « Cette élévation de privilèges locaux permet à un processus non administrateur de passer à SYSTEM si PsExec est exécuté localement ou à distance sur la machine cible. »

Le chercheur confirme que le jour zéro affecte les forums de version Windows de Windows XP à Windows 10. En outre, il a constaté que l’impact de la vulnérabilité sur plusieurs à partir de la v1.72 publiée en 2006 et se terminant par PsExec v2.2, la dernière version publiée près de quatre ans.

Le micropatch gratuit est livré dans une mémoire pour le correctif. Il ne nécessite aucun redémarrage du système. Il est applicable sur la dernière version PsExec 32 bits et 64 bits. Cependant, il peut être porté sur un PsExec plus ancien – vérifiez les derniers commentaires des utilisateurs lorsque Kolsek a tweeté.

« Cette vulnérabilité permet à un attaquant qui peut déjà exécuter du code sur votre ordinateur distant en tant que non-administrateur (par exemple, en se connectant en tant qu’utilisateur Terminal Server normal, ou en établissant une session RDP en tant qu’utilisateur de domaine, ou en pénétrant dans un service vulnérable sans privilèges s’exécutant sur l’ordinateur distant) pour élever leurs privilèges au système local et prendre complètement le contrôle de la machine dès que quelqu’un utilise PsExec contre cette machine. Pour les particuliers et les petites entreprises, il ne s’agit probablement pas d’une menace hautement prioritaire, tandis que pour les grandes organisations c’est peut-être vrai, dit Kolsek.