Reprise du message précédent :
ben pas chez moi

Et si vous lancer Terminal en mode Admin c'est normal que vous y ayez accès hein (de ce que je vois sur les screen)

 
Non, icacls ne fait qu'afficher les permissions affectées à un fichier/dossier. Même sans être admin c'est la même chose. (j'ai fait un dism avant pour bien montrer que je ne suis pas en admin)
 

Je crois que le vrai problème, c’est la présence de la ligne « BUILTIN\Users:(I)(RX) », qui n’a normalement rien à faire là.

 
Oui puisque cela permet à n'importe qui de récupérer le hash du mot de passe de n'importe quel compte local, y compris Administrator.
 
https://www.bleepingcomputer.com/ne [...] rivileges/
 
A partir du moment ou des mecs comme Benjamin Delpy s'emparent du sujet et sortent des POC je pense qu'on peut se dire qu'il y a effectivement un problème.
 
Bon après il est savoureux de voir en même temps cet article sortir (sur le même site)
 
https://www.bleepingcomputer.com/ne [...] n-distros/
 
Panic ? Panic.  

Si vraiment c'est présent depuis Windows 1809 day one au moins, est-ce que l'on est sur que c'est vraiment un bug et pas comme ça "by design" ???
 
Parce que à priori, le hash des mots de passe on s'en branle... Ça reste des hashs hein... Sans l'algo + la clef + le salt, on peut toujours mouliner 107 ans...
 
Et surtout, si on a un accès local physique à la machine... Comment dire... Tu boot avec une autre instance de Windows via USB key, et si l'HDD n'a pas de BitLocker, tu peux de toutes façons forcer l'octroi des droits admins sur le fichier...

Tu te compliques la vie, là : un live Linux et tu as accès à absolument tout, sur une partition NTFS (non chiffrée), puisqu’il n’y a pas de gestion des droits d’accès. Tu peux même supprimer le dossier Windows d’un simple Maj-Suppr que tu n’auras que la demande de confirmation standard (depuis un gestionnaire de fichiers, vu que « rm -rf /[…]/Windows » ne te demandera rien).
 
Inutile de dire que les volumes NTFS définis en lecture seule via DiskPart ne le sont que sous Windows et continuent à être pleinement accessibles en écriture depuis Linux.
 
D’où un certain intérêt pour le chiffrement des volumes internes, finalement…

 
Ben pas chez moi encore. J'ai pas les permissions de la base SAM qui s'affichent avec icacls quand je suis pas admin.

Moi je veux bien, mais sur l'édition familiale tu peux pas.

Hein ? C'est sérieux ça ...

Bon ok, c'est une sacrée bourde.
 
Mais il faut avoir un accès libre à la machine quand même. Et un utilisateur standard s'il a bien accès au fichier, il peut pas le lire, puisqu'il est verrouillé.
 
Donc y'a pas péril en la demeure, en tout cas pas plus qu'avec un méchant qui a un accès physique à la machine non chiffrée et son boot linux.

Pas nécessairement. Et c'est la le danger.

Ha. Tu fais comment sans accès à la machine ?

C'est un problème de commande ? Ou simplement ton PC n'est pas affecté (pas de ligne Users) ? Une capture d'écran serait bienvenue.

 
Microsoft a confirmé le problème : https://msrc.microsoft.com/update-g [...] 2021-36934  
 
Donc à priori c'est bien une bourde et pas "by design"

'tain mais je suis affecté sur aucune de mes machines. (bon allez je les ai pas toutes verifiées, mais j'en ai déja fait cinq)
 

 

 
 
Doit bien y avoir un autre dénominateur commun.

Réinitialisation depuis le cloud de mon PC portable Toshiba de 2014.
J'ai tout viré, même les fichiers perso car je destine ce PC à mon neveu.
 
Globalement ça fonctionne toujours aussi bien, c'est rapide et pratique, cela ne demande aucun média bootable. Vraiment top.
Il n'y avait que la dernière CU a installer par la suite donc gros gain de temps.
 
2 remarques cependant :
- Windows n'arrivait pas à installer les pilotes pour le son, j'ai du aller chercher le driver sur le site de Toshiba. C'est zarbi et c'est la première fois que je vois un truc pareil sur cette machine. Couac de la version 21H1 ?  
- cette réinitialisation n'est pas encore au niveau d'une vraie réinstallation avec formatage. En effet sur l'ancienne installation j'avais viré le démarrage rapide. Le SSD ne fait que 120 Go, il était bien rempli et cela me permettait de gagner quelques Go avec la suppression du fichier d'hibernation. Et malheureusement sur la nouvelle installation, le démarrage rapide n'est pas réactivé. C'est dommage car ce n'est pas comme cela que Windows s'installe par défaut.
 
edit : mon neveu ne veut pas de mot de passe. Donc lors de la création du compte -> on coupe internet, et ensuite aucun souci pour faire un compte local et laisser la case mot de passe vide. C'est pas sécurisé mais c'est son problème  

Ta 2nd capture, c'est la 1607. La faille est présente qu'à partir de la 1809

EDIT : J'ai essayé d'autres trucs, comme l'upgrade ou l’intégration à un domaine, ça ne change rien dans mon cas.

Toutes les installations testées sont sans aucune MAJ en VM (à partir des isos officielles régénérées). Et sans restauration système activé.

 
Mais c'est quoi finalement qui doit montrer qu'on est affecté ? La réussite de la commande alors qu'on est pas admin (ce qui n'est pas le cas chez moi) ? Ou l'affichage de la ligne "Users" quand on lance la commande en tant qu'admin ? Même dans ce dernier cas je l'ai pas chez moi, juste BUILTIN\AdministrateursI)(F)
Le résultat est le même que flash_gordon

Microsoft donne une manip de fortune en attendant un correctif, il s'agit de restreindre le droit d'accès au dossier situé %windir%\system32\config.
 
https://msrc.microsoft.com/update-g [...] 2021-36934

Bordel, y'a un truc pour réparer le store ? J'utilise quasiment jamais mon pc sous windows 10 mais déjà la deuxième fois que le store plante  
 
Je peux plus accéder aux maj/téléchargement, application xbox qui ne se lance plus  
 
J'ai aussi transféré le système d'un SSD sata à un NVME, le logiciel a bien tout transféré mais le système ne prends pas en compte les partitions de récupération, y'a moyen de faire quelque chose sans tout réinstaller ? (adsl ... ).  
 
merci

Il faut utiliser l'outil de résolution des problèmes dans les Paramètres Windows.

C'est l'affichage de la ligne Users qui indique si on est affecté. Dans ton cas t'as de la chance.

Et c'est donc normal que ça t'affiches un "accès refusé" en utilisateur classique puisque tu n'as pas les droits de lecture  

Ah, le PC portable de ma grand-mère (un HP à 400 balles) est lui aussi vulnérable…
 

 
Je verrai samedi ce qu’il en sera pour le Windows 10 du mien.

J'obtiens ce résultat identique sur mes 3 PC, si j'ai bien compris les permissions dans ce cas-ci sont-elles bien verrouillées?
 

Oui t'as rien à craindre  

thx    

Je viens de trouver des trucs incohérents, sur un script de détection et même sur l'utilitaire Hivenightmare de beaumont.
 
Ça me dit que mon système n'est pas vulnérable, alors que icacls me dit clairement le contraire...  
 

 
Et l'utilitaire de beaumont se repose sur les points de restauration, et vu que sur mes VM il n'est pas activé (disque trop petit) il considère que c'est ok...    
 

 
Ou alors il a une subtilité et on ne peut lire les fichiers que depuis les points de resto ?

Windows 10 21H1 installé depuis le fichier fr-fr_windows_10_consumer_editions_version_21h1_updated_jul_2021_x64_dvd_462b9fec.iso
Ça fonctionne bien

Ce titre putaclic.  

Titre putaclic et article inutile.
 
Il y a des milliers de malwares en circulation, pourquoi parler de celui-là en particulier?  
Et il fait quoi de si spécial pour mériter un article ?
 
ça montre où en est la presse info aujourd'hui. bitdefender balance un publireportage pour se mettre un peu en valeur, tout le monde recopie, et voila.
 
Aucun interet.

Pareil !

 
Tout faux.
 
L'algo n'est pas reversible.
 
Par contre la réutilisation du hash tel quel c'est une technique de propagation latérale de base...
 
(certes sur le PC de mme Michu on va pas aller bien loin mais en entrerprise ça ouvre déjà plus de portes, surtout chez celles qui déploient en masse des masters avec le même mot de passe Administrator partout et n'ont pas déployé de technique telle que LAPS pour s'assurer que ce mot de passe est diversifié et régulièrement changé)
 
C'est aussi pour ça que dans un domaine AD moderne tu as le groupe Protected Users pour interdire aux utilisateurs membres de ce groupe (généralement les plus sensibles) de passer le hash NTLM sur le réseau. Ca limite ces utilisateurs à Kerberos du même coup.

Si tu connais algo + clef + salt, tu peux retrouver la valeur en clair même avec un hash... C'est juste long de tester toutes les valeurs possibles avant d'obtenir le bon hash.

le principe d'une fonction de hash c'est qu'il y a des collisions et tu ne peux jamais revenir au message d'origine car l'espace des entrées est plus grand que celui des sorties

 
 
Surtout que beaucoup de ceux qui jouent les vierges effarouchées roulent en admin sans UAC

Mais tu t'en fou... Parce que l'OS va valider la valeur du hash au bout du compte. Donc ton but c'est de trouver une valeur qui donne le même hash.

Ça ne changera rien mais personnellement j’ai banni de mes favoris tous les sites adeptes de ces titres.  
Idem pour tous ceux qui obligent à cliquer pour avoir l’info principale alors qu’ils ont toute la place dans le titre pour.  
Je comprends, si pas de vues ça ferme. Mais bon…
 
 

T’as bien ton bios en fast boot et l’hibernation activée ?

Mon bios ne propose pas le fast boot.
Par contre le secure boot est activé.
Bien évidemment, je n'ai pas d'hibernation non plus.
 
edit : de toute façon mon post n'était pas la pour trouver une solution pour activer le démarrage rapide ( je sais faire ) mais montrer simplement qu'une réinstallation depuis le cloud garde certains paramètres de l'ancienne installation. Ce n'est donc pas un  "reset" aussi performant qu'une clean install.
 
edit 2 : c'est d'autant plus ballot qu'il avait tellement tout viré dans l'opération que le pilote du son avait disparu d'ailleurs, et qu'il ne le retrouvait visiblement pas ( même via WU ou le gestionnaire de périphériques )