Fim-de-semana passado, o conhecido pesquisador de segurança cibernética Jonas Lykkegaard relatou uma vulnerabilidade bastante séria no Windows 10.
Todas as versões do Windows 10 lançado no último 2.5 anos (bem como Windows 11) são vulneráveis a um problema chamado SeriousSAM e HiveNightmare. Graças a esse bug, um invasor pode elevar seus privilégios e obter acesso a senhas de contas de usuário.
A vulnerabilidade está relacionada à forma como o Windows 10 controla o acesso a arquivos como SAM, SEGURANÇA, e SISTEMA:
- C:\WindowsSystem32configsam
- C:\WindowsSystem32configsegurança
- C:\WindowsSystem32configsistema
Deixe-me lembrá-lo de que esses arquivos armazenam informações como senhas com hash para todas as contas de usuário do Windows, configurações relacionadas à segurança, dados de chave de criptografia, e outras informações importantes sobre a configuração do kernel do sistema operacional. Se um invasor em potencial puder ler os arquivos, as informações obtidas o ajudarão a obter acesso a senhas de usuários e configurações críticas do sistema.
Normalmente, apenas um administrador do Windows pode interagir com esses arquivos. No entanto, ao testar o Windows 11, o especialista percebeu que embora o sistema operacional restrinja o acesso a esses arquivos para usuários de baixo nível, as cópias disponíveis dos arquivos são salvas em cópias de sombra. Além disso, como acabou, esse problema apareceu no Windows 10 código de volta 2018, após o lançamento da versão 1809.
Conseguir acesso ao Gerente de contas de segurança (SAM) arquivo de configuração é sempre um grande desafio, pois pode roubar senhas com hash, quebrar esses hashes, e sequestrar contas. Pior ainda, SYSTEM e SECURITY também podem conter outros, dados igualmente perigosos, Incluindo Chaves de criptografia DPAPI e Conta de máquina detalhes (usado para ingressar computadores no Active Directory). Abaixo você pode ver uma demonstração desse tipo de ataque, gravado pelo criador do Mimikatz, Benjamim Delpy.
Microsoft já reconheceu o problema e atribuí a ele um ID CVE-2021-36934.
Até aqui, A Microsoft está apenas investigando o problema e trabalhando em um patch que provavelmente será lançado como uma atualização de segurança de emergência ainda esta semana.. Até aqui, a empresa recomenda apenas restringir o acesso à pasta do problema, bem como excluir cópias de sombra.
Vale a pena notar que o conhecido especialista em segurança da informação Kevin Beaumont já publicou um Exploração PoC para SeriousSAM para que os administradores possam verificar quais de seus sistemas estão vulneráveis a ataques.
Deixe-me lembrá-lo de que também relatei que Windows 10 bug causa BSOD ao abrir um caminho específico.