{"id":504,"date":"2013-01-08T21:48:06","date_gmt":"2013-01-08T19:48:06","guid":{"rendered":"https:\/\/www.asafety.fr\/?p=504"},"modified":"2016-07-25T00:42:01","modified_gmt":"2016-07-24T22:42:01","slug":"windows-7-8-escalade-de-privilege-sans-livecd","status":"publish","type":"post","link":"https:\/\/www.asafety.fr\/en\/vuln-exploit-poc\/windows-7-8-escalade-de-privilege-sans-livecd\/","title":{"rendered":"[Windows 7 & 8] Escalade de privil\u00e8ge sans LiveCD"},"content":{"rendered":"

<\/p>\n

Le 4 juillet 2012, ASafety (re)pr\u00e9sentait diverses techniques, qui commencent \u00e0 avoir de l’\u00e2ge, permettant d’\u00e9lever ses privil\u00e8ges sur un syst\u00e8me Windows (7 et 8)<\/a>. Ces techniques facilitent la red\u00e9finition de mot de passe de comptes administrateurs notamment, dans le cas de pertes d’acc\u00e8s.<\/p>\n

L’article initial<\/a>\u00a0(qu’il est conseill\u00e9 de consulter avant celui-ci) a \u00e9t\u00e9 enrichi en citant \u00e9galement le processus “Utilman.exe” se trouvant \u00e9galement dans C:\\Windows\\System32\\. Ce processus est le gestionnaire des diff\u00e9rents outils d’accessibilit\u00e9 en tant que tel, et permet ainsi la r\u00e9cup\u00e9ration d’un shell au niveau du winlogon, donc sous\u00a0l\u2019autorit\u00e9\u00a0du compte “SYSTEM” :<\/p>\n

\"\u00c9l\u00e9vation<\/a>

\u00c9l\u00e9vation de privil\u00e8ge via Utilman sous Windows 8<\/p><\/div>\n

La technique pr\u00e9sent\u00e9e consiste \u00e0 remplacer les binaires d’accessibilit\u00e9 par la console “cmd.exe” renomm\u00e9e comme ces utilitaires ; celle-ci est donc accessible avant m\u00eame qu’une session Windows soit ouverte, et ce avec le maximum des privil\u00e8ges.<\/p>\n

L’inconv\u00e9nient de cette technique est qu’un LiveCD (Linux ou un DVD de r\u00e9installation Windows 7\/8) est n\u00e9cessaire, pour alt\u00e9rer le contenu du r\u00e9pertoire System32. En effet, une fois Windows lanc\u00e9, m\u00eame sous un compte d’administration, il n’est pas directement possible d’\u00e9diter le contenu du r\u00e9pertoire System32 :<\/p>\n

\"Essai<\/a>

Essai modification System32 compte admin<\/p><\/div>\n

Les Windows 7 et 8 demandent explicitement de lancer un processus “en tant qu’administrateur” via l’interface graphique, m\u00eame si l’on consid\u00e8re \u00eatre l’administrateur de la machine :<\/p>\n

\"Lancement<\/a>

Lancement du processus en tant qu’administrateur<\/p><\/div>\n

Cette demande est suivie d’une validation par l’UAC (User Account Control<\/em><\/a>) de Windows pour confirmer l’action :<\/p>\n

\"Demande<\/a>

Demande de l’UAC<\/p><\/div>\n

A partir d’un shell lanc\u00e9 en tant qu’administrateur, certains droits additionnels sont disponibles au sein des r\u00e9pertoires Windows tels que System32 comme la copie\/cr\u00e9ation de fichier. Toutefois la suppression d’entit\u00e9 syst\u00e8me ne l’est toujours pas :<\/p>\n

\"Essai<\/a>

Essai de modification de System32 en tant qu’administrateur<\/p><\/div>\n

La raison de ces droits partiels, et notamment de l’impossibilit\u00e9 de supprimer un fichier dans System32, vient du fait que le fichier n’appartient pas \u00e0 l’utilisateur courant (m\u00eame en tant qu’administrateur avec une shell lanc\u00e9 “en tant qu’administrateur”). Il faut donc changer le propri\u00e9taire des fichiers \u00e0 modifier\/supprimer. De plus, les ACL (Access Control List<\/em><\/a>) du fichier n’autorisent pas l’\u00e9dition de celui-ci par un membre de l’administration.<\/p>\n

Ainsi, pour rem\u00e9dier \u00e0 ces manques de droits, il est n\u00e9cessaire d’ex\u00e9cuter les commandes suivantes dans un shell lanc\u00e9 en tant qu’administrateur :<\/p>\n

[bash]takeown \/f monfichier.exe # permet de rendre l’utilisateur courant propri\u00e9taire du fichier &amp;quot;monfichier.exe&amp;quot;&lt;\/p&gt;
\n&lt;p&gt;icacls monfichier.exe \/grant Administrateurs:f # Donne le contr\u00f4le total &amp;quot;F&amp;quot; (Full) \u00e0 l’ensemble des membres du groupe &amp;quot;Administrateurs&amp;quot;.[\/bash]<\/p>\n

Une fois le fichier attribu\u00e9 \u00e0 l’utilisateur courant et avec ces ACL de modifi\u00e9s (ASafety d\u00e9taille \u00e9galement l’utilisation des ACL dans un article d\u00e9di\u00e9<\/a> pour le camouflage de donn\u00e9es sous Windows), sa suppression se d\u00e9roule sans probl\u00e8me et la copie de la console “cmd.exe” \u00e9galement :<\/p>\n

\"Takeown<\/a>

Takeown & icacls sur le fichier<\/p><\/div>\n

Cette technique permet ais\u00e9ment de modifier les fichiers de System32, en vue de l’obtention d’un shell sous le compte SYSTEM au niveau du Winlogon, et ce sans avoir \u00e0 red\u00e9marrer la machine sur un LiveCD quelconque.<\/p>\n

A noter toutefois que l’ex\u00e9cution du processus “cmd.exe” doit pouvoir \u00eatre r\u00e9alis\u00e9e sous le compte courant “en tant qu’administrateur”. L’UAC alerte aussit\u00f4t pour confirmer la transmission des droits, si celle-ci est active bien \u00e9videmment.<\/p>\n

Ressources :<\/strong><\/p>\n