Voici un moyen simple pour pénétrer dans les PC Windows (et personne ne s’en est aperçu pendant dix mois)

Technologie : La technique de "RID Hijacking" permet aux pirates d'attribuer des droits d'administrateur aux comptes invités et autres comptes de bas niveau. Le procédé est simple à exécuter et difficile à arrêter.

Par Catalin Cimpanu

  • 3 min

Voici un moyen simple pour pénétrer dans les PC Windows (et personne ne s’en est aperçu pendant dix mois)

Un chercheur colombien en sécurité a trouvé un moyen d’obtenir les droits d’administration et le droit de boot sur les PC Windows. Le procédé est simple à exécuter et difficile à arrêter. Le procédé présente toutes les fonctionnalités que les pirates et les auteurs de malwares recherchent pour exécuter leurs basses oeuvres.

Ce qui est plus surprenant, c’est que la technique a été détaillée pour la première fois en décembre 2017. Mais malgré ses nombreux avantages et sa facilité d’exploitation, elle n’a fait l’objet d’aucune couverture médiatique et n’a pas été utilisée dans les campagnes de malwares. Jusqu’à présent.

Découverte par Sebastián Castro, chercheur en sécurité pour CSL, cette technique cible l’un des paramètres des comptes utilisateurs Windows connu sous le nom de Relative Identifier (RID).

Le RID est un code ajouté à la fin des identificateurs de sécurité de compte (SID) qui décrit le groupe de permissions de cet utilisateur. Plusieurs RID sont disponibles, mais les plus courants sont 501 pour le compte invité standard et 500 pour les comptes administrateurs.

Image : Sebastian Castro

Sebastian Castro, avec l’aide du PDG de CSL Pedro García, a découvert qu’en bricolant des clés de registre qui stockent les informations sur chaque compte Windows, il pouvait modifier le RID associé à un compte spécifique et lui accorder un RID différent, pour un autre groupe de comptes.

La technique ne permet pas à un pirate d’infecter à distance un ordinateur à moins que cet ordinateur n’ait été bêtement laissé exposé sur Internet sans mot de passe.

Mais dans les cas où un hacker a un pied sur un système – par malware ou en forçant un compte avec un mot de passe faible – le hacker peut donner des permissions d’administration à un compte de bas niveau compromis, et installer une backdoor avec accès complet au SYSTEM sur un PC Windows.

Comme les clés de registre sont également persistantes au démarrage, toutes les modifications apportées au RID d’un compte restent permanentes, ou jusqu’à ce qu’elles soient corrigées.

L’attaque est également très fiable, testée et fonctionne sur des versions Windows allant de XP à Windows 10 et de Windows Server 2003 à Windows Server 2016, bien que même les versions plus anciennes puissent être vulnérables, du moins en théorie.

« Il n’est pas si facile à détecter lorsqu’il est exploité, car cette attaque pourrait être déployée en utilisant les ressources du système d’exploitation sans déclencher d’alerte » a déclaré Sebastian Castro à ZDNet dans une interview la semaine dernière. « D’un autre côté, je pense qu’il est facile à repérer quand on fait de la rétro-ingénierie ».

« Il est possible de savoir si un ordinateur a été victime d’un détournement de RID en consultant le registre [Windows] et en vérifiant les incohérences sur le SAM [Security Account Manager] » ajoute Sabastian Castro.

Si le SID d’un compte invité se termine par un RID « 500 », c’est un indice clair que le compte invité a les droits d’administrateur et que quelqu’un a trafiqué les clés du registre.



Image : Sebastian Castro

Le chercheur du CSL a créé et publié un module pour Metasploit Framework qui automatise l’attaque, à des fins de pen test.

« Nous avons contacté Microsoft dès que le module a été développé, mais nous n’avons reçu aucune réponse de leur part » nous a dit Sebastian Castro. « Et non, il n’est pas encore patché. »

La raison pour laquelle Microsoft n’a pas répondu n’est pas très claire. Mais le chercheur a été en tournée cet été, présentant ses conclusions lors de diverses conférences sur la cybersécurité, telles que Sec-T, RomHack, et DerbyCon. Une vidéo de sa plus récente présentation est intégrée ci-dessous.

« Pour autant que je sache, il n’y avait pas de documentation sur Internet au sujet de cette attaque particulière lorsque j’ai publié le billet de blog qui la décrivait » a déclaré Sebastian Castro à ZDNet. « Comme c’est une technique simple, je ne pense pas que seule ma société et moi étions au courant. »

Mais si certains hacks intelligents comme celui que Castro a documenté ne bénéficient d’aucune couverture médiatique, ils ne passent souvent pas inaperçus aux yeux des auteurs de logiciels malveillants.

Le piratage de RID est simple, furtif et persistant – exactement ce que les pirates apprécient le plus dans les failles de Windows. Mais dans ce cas-ci, le détournement du RID semble avoir également échappé aux auteurs de logiciels malveillants.

« Je ne suis au courant d’aucun programme malveillant utilisant cette technique de persistance », nous a dit Castro. « J’ai demandé à des analystes de logiciels malveillants, mais ils m’ont dit qu’ils ne l’avaient pas vu implémenté sur des logiciels malveillants. »

Connexion

Vous n’avez pas encore de compte ?

    AUTOUR DE ZDNET
    SERVICES
    À PROPOS