Fin de semana pasado, El conocido investigador de ciberseguridad Jonas Lykkegaard informó sobre una vulnerabilidad bastante grave en Windows. 10.
Todas las versiones de Windows 10 lanzado en el último 2.5 años (así como ventanas 11) son vulnerables a un problema denominado SeriousSAM y HiveNightmare. Gracias a este error, un atacante puede elevar sus privilegios y obtener acceso a contraseñas de cuentas de usuario.
La vulnerabilidad se relaciona con cómo Windows 10 controla el acceso a archivos como SAM, SEGURIDAD, y SISTEMA:
- C:\WindowsSystem32configsam
- C:\WindowsSystem32configseguridad
- C:\WindowsSystem32configsistema
Permítame recordarle que estos archivos almacenan información, como contraseñas hash para todas las cuentas de usuario de Windows., configuraciones relacionadas con la seguridad, datos de clave de cifrado, y otra información importante sobre la configuración del kernel del sistema operativo. Si un atacante potencial puede leer los archivos, la información obtenida le ayudará a obtener acceso a las contraseñas de los usuarios y a las configuraciones críticas del sistema..
Normalmente, sólo un administrador de Windows puede interactuar con estos archivos. Sin embargo, mientras probaba Windows 11, el experto notó que aunque el sistema operativo restringe el acceso a estos archivos para usuarios de bajo nivel, las copias disponibles de los archivos se guardan en instantáneas. Además, como se vio despues, este problema apareció en Windows 10 código de nuevo en 2018, después del lanzamiento de la versión 1809.
Obtener acceso a la Gerente de cuentas de seguridad (Sam) El archivo de configuración siempre es un gran desafío ya que puede robar contraseñas hash., descifrar esos hashes, y secuestrar cuentas. Peor aún, SISTEMA y SEGURIDAD también pueden contener otros similares, datos igualmente peligrosos, incluido Claves de cifrado DPAPI y Cuenta de máquina detalles (Se utiliza para unir computadoras a Active Directory.). A continuación puedes ver una demostración de tal ataque., grabado por el creador de Mimikatz, Benjamín Delpy.
Microsoft ya ha reconocido el problema y le asignó una identificación CVE-2021-36934.
Hasta ahora, Microsoft sólo está investigando el problema y está trabajando en un parche que probablemente se lanzará como una actualización de seguridad de emergencia a finales de esta semana.. Hasta ahora, la empresa solo recomienda restringir el acceso a la carpeta problemática, así como eliminar instantáneas.
Vale la pena señalar que el conocido experto en seguridad de la información Kevin Beaumont ya ha publicado un Explotación PoC para SeriousSAM para que los administradores puedan comprobar cuáles de sus sistemas son vulnerables a ataques.
Déjame recordarte que también informé que Windows 10 error causa BSOD al abrir una ruta específica.