L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Usurpation du service RunAs

Synthèse de la vulnérabilité 

En usurpant le canal de communication du service RunAs, un attaquant local peut se faire passer pour un utilisateur privilégié auprès du serveur.
Logiciels vulnérables : Windows 2000.
Gravité de cette annonce : 2/4.
Date de création : 13/11/2001.
Dates de révisions : 14/11/2001, 15/11/2001.
Références de cette vulnérabilité informatique : BID-3185, V6-WIN2KRUNASAUTHFAILURE, VIGILANCE-VUL-2005.

Description de la vulnérabilité 

Le service RunAs permet à un utilisateur d'exécuter des programmes spécifiques avec des droits plus étendus comme ceux liés au compte administrateur. Il est courant pour les administrateurs d'utiliser un compte avec des autorisations limitées pour exécuter des tâches courantes, non-administratives, et d'utiliser un compte avec des autorisations plus étendues lors de l'exécution de tâches d'administration spécifiques.

L'exécution de RunAs implique l'utilisation de références (options) permettant d'authentifier l'utilisateur:
   runas /profile /user:nom_compte_utilisateur programme_a_executer
Avec:
 - /profile: indique le nom du profil de l'utilisateur et s'il doit être chargé,
 - /env: spécifie l'emploi de l'environnement réseau actuel au lieu de l'environnement local de l'utilisateur,
 - /netonly: indique que les informations utilisateur spécifiées ne servent qu'à l'accès distant,
 - /user:nom_compte_utilisateur: indique le nom du compte d'utilisateur sous lequel le programme doit être exécuté.

Dans le cas ou le service RunAs est "Arrêté", un attaquant ayant un compte sur le système peut usurper le canal de communication "\\.\pipe\secondarylogon" dans le but de récupérer les références passés par un utilisateur.

L'attaquant peut ensuite se faire passer pour l'utilisateur auprès du serveur en imitant le contexte de sécurité de celui-ci dans le but d'accroître ses privilèges sur le système local.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de vulnérabilité concerne les logiciels ou systèmes comme Windows 2000.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte cyber-sécurité est moyen.

Le niveau de confiance est de type source unique, avec une provenance de shell utilisateur.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette annonce cybersécurité.

Solutions pour cette menace 

Solution temporaire.
Microsoft inclura un correctif pour cette vulnérabilité dans le Service Pack 3 (disponible en février 2002).
En attendant la sortie du service pack il faut éviter d'utiliser le service par le biais de la commande runas et des fonctionnalités RunAs de l'explorateur. Cependant il ne faut pas désactiver le service. En effet si c'est le cas la vulnérabilité VIGILANCE-VUL-2005 peut alors être exploitée.
Il faut s'assurer que le service RunAs possède les caractéristiques (par défaut) suivantes:
 - type de démarrage: automatique
 - état: démarré
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un patch de vulnérabilité applicative. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.