Vulnerabilitate SeriousSam în Windows

O nouă vulnerabilitate a fost descoperită în Windows 10 (începând cu 1809) și viitoarele versiuni de Windows 11. Această vulnerabilitate de escaladare a privilegiilor ar putea permite utilizatorilor care au puține permisiuni să acceseze fișierele sistemului Windows și apoi descoperirea parolei de instalare a sistemului de operare și chiar decriptarea cheilor private.

Vulnerabilitatea numită SeriousSam, afectează fișierul SAM care este baza de date ce stochează hash-urile parolelor tuturor conturilor de utilizatori locali (Acest fișier poate fi găsit în folderul % SystemRoot% \ System32 \ Config \ SAM și în registrul HLKM \ SAM) și este urmărită ca CVE-2021-36934.

Pe 17 iulie, cercetătorul de securitate Jonas Lykkegaard a descoperit că registrii din Windows 10 pot fi accesați de membrii grupului BUILTIN \ Users. În timp ce această configurare pare să afecteze toate hive-urile de registru (inclusiv SYSTEM și SECURITY), ar putea avea implicații serioase atunci când se încearcă modificarea acestora.

Cum puteți verifica dacă sistemul dumneavoastră poate fi vulnerabil

Pentru a verifica dacă sistemul dumneavoastră poate fi vulnerabil folosiți comanda următoare în Command Prompt sau PowerShell cu drepturi de administrator:

icacls c:\Windows\System32\Config\SAM

Sistem vulnerabil (Windows 21H1)
Permisiuni corecte (Windows 10 build 1803)

Dacă după executarea comenzii observați BUILTIN\USERS: (I) (RX) atunci sistemul dvs. este vulnerabil (RX reprezintă permisiuni de citire\execuție).

Conținutul bazei de date SAM, deși nu este accesibil pe sistemul de operare, poate fi accesat atunci când face parte dintr-un back-up Windows Shadow Volume Copy (VSS). VSS este un serviciu care permite back-up-uri automate sau manuale în timp real ale fișierelor de sistem ale unei anumite partiții.

Microsoft recomandă administratorilor ștergerea copiilor de rezervă ale fișierelor VSS. Producătorul de sistem de operare nu oferă un patch pentru eroare, mai degrabă o soluție simplă.

Microsoft recomandă ștergerea tuturor fișierelor de back-up care existau înainte de restricționarea accesului la% windir% \ system32 \ config” și crearea unor noi fișiere de back-up.

De asemenea, este recomandat ca toate sistemele să fie actualizate la zi.

Sursa: https://threatpost.com/win-10-serioussam/168034/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică