Vulnerabilidade no Windows 10 poderia permitir a obtenção de privilégios de administrador

Vulnerability in Windows 10

Fim-de-semana passado, o conhecido pesquisador de segurança cibernética Jonas Lykkegaard relatou uma vulnerabilidade bastante séria no Windows 10.

Todas as versões do Windows 10 lançado no último 2.5 anos (bem como Windows 11) são vulneráveis ​​a um problema chamado SeriousSAM e HiveNightmare. Graças a esse bug, um invasor pode elevar seus privilégios e obter acesso a senhas de contas de usuário.

A vulnerabilidade está relacionada à forma como o Windows 10 controla o acesso a arquivos como SAM, SEGURANÇA, e SISTEMA:

  • C:\WindowsSystem32configsam
  • C:\WindowsSystem32configsegurança
  • C:\WindowsSystem32configsistema

Deixe-me lembrá-lo de que esses arquivos armazenam informações como senhas com hash para todas as contas de usuário do Windows, configurações relacionadas à segurança, dados de chave de criptografia, e outras informações importantes sobre a configuração do kernel do sistema operacional. Se um invasor em potencial puder ler os arquivos, as informações obtidas o ajudarão a obter acesso a senhas de usuários e configurações críticas do sistema.

Normalmente, apenas um administrador do Windows pode interagir com esses arquivos. No entanto, ao testar o Windows 11, o especialista percebeu que embora o sistema operacional restrinja o acesso a esses arquivos para usuários de baixo nível, as cópias disponíveis dos arquivos são salvas em cópias de sombra. Além disso, como acabou, esse problema apareceu no Windows 10 código de volta 2018, após o lançamento da versão 1809.

Conseguir acesso ao Gerente de contas de segurança (SAM) arquivo de configuração é sempre um grande desafio, pois pode roubar senhas com hash, quebrar esses hashes, e sequestrar contas. Pior ainda, SYSTEM e SECURITY também podem conter outros, dados igualmente perigosos, Incluindo Chaves de criptografia DPAPI e Conta de máquina detalhes (usado para ingressar computadores no Active Directory). Abaixo você pode ver uma demonstração desse tipo de ataque, gravado pelo criador do Mimikatz, Benjamim Delpy.

Microsoft já reconheceu o problema e atribuí a ele um ID CVE-2021-36934.

A vulnerabilidade de escalonamento de privilégios funciona devido a permissões excessivas em listas de controle de acesso (ACLs) em vários arquivos do sistema, incluindo o Gerente de Contas de Segurança (SAM) base de dados.

[Depois de um ataque bem-sucedido] um invasor poderá instalar programas, visualizar, modificar ou excluir dados, crie novas contas com direitos totais de usuário. Para explorar a vulnerabilidade, um invasor deve ser capaz de executar código no sistema da vítima.Representantes da Microsoft escreveram.

Até aqui, A Microsoft está apenas investigando o problema e trabalhando em um patch que provavelmente será lançado como uma atualização de segurança de emergência ainda esta semana.. Até aqui, a empresa recomenda apenas restringir o acesso à pasta do problema, bem como excluir cópias de sombra.

Vale a pena notar que o conhecido especialista em segurança da informação Kevin Beaumont já publicou um Exploração PoC para SeriousSAM para que os administradores possam verificar quais de seus sistemas estão vulneráveis ​​a ataques.

Deixe-me lembrá-lo de que também relatei que Windows 10 bug causa BSOD ao abrir um caminho específico.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *