RID Hijacking : voici comment pirater un PC (tout le monde le sait et s'en fiche)

Le RID Hijacking, pas si inconnu que ça

Un chercheur en sécurité colombien a découvert un moyen d’obtenir les droits d’admin et de boot sur les PC Windows : le RID Hijacking. Et cette combine est non seulement très simple, mais quasiment impossible à arrêter. Donc tout ce qu’un hacker recherche !
Et le plus surprenant, c’est que cette technique n’est pas une nouveauté, puisqu’elle a été découverte en décembre 2017. Néanmoins, malgré ses nombreux « avantages » et sa facilité d’application, personne n’en a parlé. Ni les médias, ni les campagnes de sensibilisation aux malwares.

Comment ça marche ?

Découverte par Sebastian Castro, chercheur à CSL, le RID Hijacking vise principalement un des paramètres des comptes utilisateurs Windows. Le Relative Identifier (RID).
Le RID est un code qui est ajouté à la fin des identificateurs de sécurité de compte (SIDs). Ces derniers expliquent le groupe d’autorisations d’un utilisateur. Il existe plusieurs RID disponibles, mais les plus communs sont les 501 pour les comptes d’invités standards. Et les 500 pour les comptes administrateurs.
Avec l’aide du CEO de CSL Pedro Garcia, Sebastian Castro a découvert qu’en modifiant les clés de registre contenant des informations concernant des comptes Windows, il pouvait modifier le RID associé à un compte spécifique. Et lui attribuer un autre RID, pour un autre groupe.
Cette méthode ne permet pas un hacker de pirater un ordinateur à distance. Sauf si l’appareil a été laissé connecté internet et bêtement laissé sans protection, et sans mot de passe.

Un accès total

Mais au cas où un hacker aurait déjà la main sur un système (grâce à un malware par exemple), il pourrait donner les permissions admin à un autre compte compromis. Et obtenir un accès complet au système !
Comme les clés de registre sont également résistantes au démarrage, toute modification sur un compte RDI est permanente. Jusqu’à ce qu’elle soit elle-même modifiée.
Cette attaque fonctionne très bien. De plus, elle est possible sur toutes les versions Windows depuis XP jusqu’à XP 10. Et depuis Server 2003 jusqu’à Server 2016. Et des versions encore plus anciennes seraient théoriquement également vulnérables.
Un indice de RID Hujacking serait de voir un compte SID invité, terminant en RID « 500 ». En effet, cela voudrait clairement dire que ce compte a les droits admin, et que quelqu’un a falsifié les clés de registre.

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email