НОВОСТИ Уязвимость в Windows 10 позволяет получить привилегии администратор

GLOV

Знаменитый
ТЕНЕВОЙ НАДЗИРАТЕЛЬ
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА

GLOV

Знаменитый
ТЕНЕВОЙ НАДЗИРАТЕЛЬ
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
20 Апр 2019
Сообщения
1,589
Реакции
112
Репутация
0
eRub
1,500
Род занятий

Готовые кошельки, Дебетовые карты

ГАРАНТ
1

В минувшие выходные ИБ-исследователь Йонас Ликкегаард (Jonas Lykkegaard) сообщил, что все версии Windows 10, выпущенные за последние 2,5 года (а также Windows 11) уязвимы перед проблемой, получившей названия SeriousSAM и HiveNightmare. Благодаря этому багу, злоумышленник может повысить свои привилегии и получить доступ к паролям от учетных записей пользователей.

Уязвимость связана с тем, как Windows 10 контролирует доступ к таким файлам, как SAM, SECURITY и SYSTEM:
C:\Windows\System32\config\sam
C:\Windows\System32\config\security
C:\Windows\System32\config\system
Напомню, что в этих файлах хранится такая информация, как хешированные пароли всех учетных записей пользователей Windows, параметры, связанные с безопасностью, данные о ключах шифрования и прочие важные сведения о конфигурации ядра ОС. Если потенциальный злоумышленник сможет прочитать файлы, полученная информация поможет ему получить доступ к паролям пользователей и критически важным настройкам системы.
В нормальной ситуации только администратор Windows может взаимодействовать с этими файлами. Однако во время тестирования Windows 11 эксперт заметил, что хотя ОС ограничивает доступ с этим файлам для низкоуровневых пользователей, доступные копии файлов сохраняются в теневых копиях. Причем, как оказалось, эта проблема появилась в коде Windows 10 еще в 2018 году, после релиза версии 1809.
Получение доступа к файлу конфигурации Security Account Manager (SAM) всегда представляет собой огромную проблему, так как это позволяет похитить хешированные пароли, взломать эти хэши и захватить учетные записи. Хуже того, в SYSTEM и SECURITY также могут содержать аналогичные другие, не менее опасные данные, включая ключи шифрования DPAPI и детали Machine Account (используются для присоединения компьютеров к Active Directory). Ниже можно увидеть демонстрацию такой атаки, записанную создателем Mimikatz Бенджамином Делпи.

Microsoft уже признала наличие проблемы, которой был присвоен идентификатор CVE-2021-36934.
«Уязвимость, связанная с повышением привилегий, работает из-за избыточных разрешений списков контроля доступа (Access Control Lists, ACL) для нескольких системных файлов, включая базу данных Security Accounts Manager (SAM).
[После успешной атаки] злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными пользовательскими правами. Чтобы воспользоваться уязвимостью, атакующий должен иметь возможность выполнить код в системе жертвы», — пишут представители Microsoft.
Пока Microsoft только изучает проблему и работает над созданием патчем, который, вероятнее всего, будет выпущен как экстренное обновление безопасности позже на этой неделе. Пока в компании лишь рекомендуют ограничить доступ к проблемной папке, а также удалить теневые копии.
Стоит отметить, что известный ИБ-эксперт Кевин Бомонт уже опубликовал PoC-эксплоит для SeriousSAM, чтобы админы могли проверить, какие из их систем уязвимы для атак.
 
Сверху