Vérifier si votre poste est vulnérable à des attaques d’élévation de privilèges

Comme vous le savez, l’élévation de privilèges consiste à pouvoir faire une manœuvre permettant à un utilisateur malveillant d’obtenir des privilèges supérieurs à ceux qu’il a normalement (le but était de récupérer les privilèges administrateurs du système).

Cette manipulation permet de lancer des processus sensibles, pouvant nécessiter des privilèges d’administration (lancer un service, manipuler les registres, manipuler des fichiers système etc. ).

La question est : Comment vérifier que vous avez patché toutes les failles relatives à l’élévation de privilèges sur un poste Windows ?

La réponse est simple, le nom de l’outil est aussi sympa : Sherlock

Ce script powershell va donc rapidement vérifier si votre poste est patché (Patchs fournis officiellement par Microsoft) contre des vulnérabilités connues du type élection de privilèges.

L’outil va donc vérifier si votre poste contient les patchs suivants :

  • MS10-015 : User Mode to Ring (KiTrap0D)
  • MS10-092 : Task Scheduler
  • MS13-053 : NTUserMessageCall Win32k Kernel Pool Overflow
  • MS13-081 : TrackPopupMenuEx Win32k NULL Page
  • MS14-058 : TrackPopupMenu Win32k Null Pointer Dereference
  • MS15-051 : ClientCopyImage Win32k
  • MS15-078 : Font Driver Buffer Overflow
  • MS16-016 : ‘mrxdav.sys’ WebDAV
  • MS16-032 : Secondary Logon Handle

Et a était testé sur :

  • Windows 7 SP1 32-bit
  • Windows 7 SP1 64-bit
  • Windows 8 64-bit
  • Windows 10 64-bit

Lien de télechargementhttps://github.com/rasta-mouse/Sherlock

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *