Date de publication d’origine : 8 avril 2025
ID de la base de connaissances : 5058189
Résumé
Il existe une vulnérabilité dans Windows qui permet aux utilisateurs non autorisés d’afficher le chemin d’accès complet d’une ressource à laquelle ils ne disposent pas des autorisations nécessaires. Cette vulnérabilité peut se produire lorsque l’utilisateur dispose de droits d’accès FILE_LIST_DIRECTORY sur un dossier parent et obtient des notifications de modification d’annuaire.
Pour plus d’informations sur cette vulnérabilité, consultez CVE-2025-21197 et CVE-2025-27738.
Plus d’informations
Le correctif pour cette vulnérabilité est inclus dans les mises à jour Windows publiées à partir du 8 avril 2025.
Ce correctif peut être appliqué aux volumes NTFS et ReFS pour éviter cette vulnérabilité. Ce correctif effectue une FILE_LIST_DIRECTORY case activée d’accès sur le dossier parent du fichier ou dossier modifié avant de signaler les modifications à un utilisateur non autorisé. Si l’utilisateur ne dispose pas des autorisations nécessaires, les notifications de modification sont filtrées, ce qui empêche la divulgation non autorisée des chemins d’accès aux fichiers.
Par défaut, ce correctif est désactivé pour éviter tout risque de sécurité inattendu ou toute interruption d’application.
Pour activer ce correctif, vous pouvez définir la valeur de clé de Registre ou la valeur de clé de stratégie de groupe sur le système affecté. Pour cela, appliquez l’une des méthodes suivantes :
Méthode 1 : Registre
Dans le Registre Windows, activez le correctif dans la sous-clé Stratégies ou FileSystem .
Prudence Si les sous-clés Stratégies et FileSystem sont activées, la sous-clé Stratégies est prioritaire.
|
Stratégies |
Emplacement du Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies Nom DWORD : EnforceDirectoryChangeNotificationPermissionCheck Date de la valeur : 1 (la valeur par défaut est 0) Remarque Pour désactiver le correctif, définissez données de valeur sur 0. |
|
FileSystem |
Emplacement du Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem Nom DWORD : EnforceDirectoryChangeNotificationPermissionCheck Date de la valeur : 1 (la valeur par défaut est 0) Remarque Pour désactiver le correctif, définissez données de valeur sur 0. |
Méthode 2 : PowerShell
Pour activer le correctif, exécutez PowerShell en tant qu’administrateur et activez le correctif dans la sous-clé Stratégies ou FileSystem .
|
Stratégies |
Exécutez cette commande : Set-ItemProperty -Path « HKLM :\SYSTEM\CurrentControlSet\Policies » -Name « EnforceDirectoryChangeNotificationPermissionCheck » -Value 1 -Type Dword |
|
FileSystem |
Exécutez cette commande : Set-ItemProperty -Path « HKLM :\SYSTEM\CurrentControlSet\Control\FileSystem » -Name « EnforceDirectoryChangeNotificationPermissionCheck » -Value 1 -Type DWord |
Pour désactiver le correctif, exécutez PowerShell en tant qu’administrateur et désactivez le correctif dans la sous-clé Stratégies ou FileSystem .
|
Stratégies |
Exécutez cette commande : Set-ItemProperty -Path « HKLM :\SYSTEM\CurrentControlSet\Policies » -Name « EnforceDirectoryChangeNotificationPermissionCheck » -Value 0 -Type DWord |
|
FileSystem |
Exécutez cette commande : Set-ItemProperty -Path « HKLM :\SYSTEM\CurrentControlSet\Control\FileSystem » -Name « EnforceDirectoryChangeNotificationPermissionCheck » -Value 0 -Type DWord |
