Un vieux piratage de session Windows remis au goût du jour

Un expert en sécurité démontre comment accéder localement à une session utilisateur ouverte sous Windows sans autre outil d’attaque que quelques commandes systèmes.

Alexander Korznikov, un expert en sécurité, a découvert, un peu par hasard, une faille de sécurité dans Windows qu’il hésite à qualifier de « zero day » ou de fonctionnalité tant elle ne nécessite aucun outil extérieur au système pour mener à bien une attaque. Dans tous les cas, cette vulnérabilité permet de se connecter à la session d’un utilisateur sans connaître son mot de passe ni avoir à l’utiliser.

Pour être menée à bien, il faut néanmoins que l’utilisateur attaqué soit connecté au système. L’attaque peut se faire localement ou à distance en mode RDP (Remote Desktop Protocol ou Connexion Bureau à distance) si celui-ci a été activé sur l’ordinateur visé. Il faut aussi que l’attaquant dispose des droits d’accès au système. Un administrateur système, typiquement (ou celui qui en aura obtenu les droits).

Pirater une session en quelques commandes systèmes

Fort des privilèges d’accès, l’attaquant pourra utiliser une interface de ligne de commande (CLI) pour lancer quelques commandes afin de pénétrer une session active sur un PC sans nécessiter de mot de passe, selon Alexander Korznikov dont on retrouvera la méthodologie sur sa page de blog. Il y poste également des vidéos de démonstration où il réalise l’attaque avec succès en moins de 3 minutes.

La démonstration vise notamment à montrer que la faille de Windows ne nécessite aucun autre outil que les propres commandes du système. Mais à quoi bon attaquer la session d’un utilisateur quand on est, a priori, administrateur ? Pour notamment accéder à des informations de l’utilisateur auxquelles même un administrateur n’est pas censé avoir accès que ce soit les fichiers ouverts au moment de l’attaque mais aussi d’autres applications précédemment utilisées comme l’e-mail.

Tous les Windows affectés

Pour mieux illustrer son propos, l’expert en sécurité propose l’exemple d’un employé de banque qui travaille sur le système de facturation auquel il a eu accès grâce aux identifiants adéquats. « A l’heure du déjeuner, l’employé fermera la session de son PC et partira manger », scénarise Alexander Korznikov. Qui poursuit : « Selon la politique de la banque, le compte administrateur ne devrait pas avoir accès au système de facturation, mais avec quelques commandes intégrées dans Windows, cet administrateur système détourne le bureau de l’employé qu’il a laissé verrouillé. À partir de maintenant, le sysadmin peut effectuer des actions malveillantes dans le système de facturation en tant que compte de salarié de facturation. » Ni vu ni connu, le tour est joué. « Et il y a des tonnes de scénarios comme celui-ci », ajoute le consultant en sécurité.

Un scénario d’autant plus inquiétant qu’il fonctionnerait sur tous les systèmes Windows, selon le chercheur qui a testé la méthode sur Windows Server 2016, 2012 R2 et 2008, ainsi que Windows 10 et 7. Plus inquiétant encore, les astuces permettant d’accéder à un compte utilisateur sans connaître son mot de passe avec quelques détournements de commandes sous Windows remontent à plusieurs années. En 2011, déjà, Benjamin Delpy, directeur de projets sécurité à la Banque de France, démontrait un vol de session RDP. Depuis, Microsoft ne semble pas avoir cherché à corriger ces risques d’accès par des utilisateurs non autorisés. D’où la question quelque peu ironique d’Alexander Korznikov de savoir si la faille système est une vulnérabilité zero day ou une fonctionnalité.


Lire également
BadTunnel : la faille qui touche tous les Windows depuis 20 ans
Une faille zero-day dans Windows 10 provoque un écran bleu de la mort
Windows 10 toujours sensible aux attaques visant l’accès mémoire