Il ricercatore di sicurezza Jonas Likkegaard ha scoperto una vulnerabilità nel sistema operativo Windows che consente a un utente di basso livello di ottenere i diritti di amministratore su un computer locale. Secondo i rapporti, il problema riguarda Windows 10 e Windows 11.
Nel corso della ricerca, è emerso che anche senza diritti di amministratore, un utente Windows può accedere a file riservati del database del registro per aumentare autonomamente il livello di privilegi nel sistema. Il registro di Windows agisce come una sorta di archivio di configurazione per il sistema operativo e contiene password con hash, impostazioni utente, impostazioni di configurazione per applicazioni, chiavi di decrittazione e molto altro.
Allo stesso tempo, i file del database associati al registro sono archiviati nella cartella C: \ Windows \ system32 \ config. Questi sono i file SYSTEM, SECURITY, SAM, DEFAULT e SOFTWARE. Poiché questi file contengono informazioni riservate su tutti gli account utente del dispositivo e i token di sicurezza utilizzati dalle funzionalità di Windows, agli utenti normali dovrebbe essere impedito di visualizzarli. Ciò è particolarmente vero per il file Security Accounts Manager (SAM), poiché memorizza le password con hash di tutti gli utenti del sistema.
Attraverso la ricerca, Lyckegaard ha scoperto che i file di registro relativi a Windows 10 e Windows 11 SAM, così come altri database di registro, sono disponibili per gli utenti del dispositivo con privilegi bassi. Ciò significa che un utente malintenzionato, anche senza diritti di amministratore, può estrarre le password NTLM con hash per tutti gli account sul dispositivo e utilizzarle in attacchi di passaggio di hash per elevare i privilegi. Nonostante il fatto che file come SAM siano sempre utilizzati dal sistema e un tentativo di accedervi verrà negato, il sistema ne crea copie nascoste, che vengono utilizzate dall'attaccante in questo tipo di attacco.
Secondo i dati disponibili, gli utenti con privilegi normali sono stati in grado di accedere per la prima volta ai file menzionati in precedenza in Windows 10 (1809). Microsoft ha confermato il problema e la vulnerabilità viene rilevata con l'identificatore CVE-2021-36934. Gli sviluppatori hanno anche proposto un'opzione temporanea per modificare le impostazioni di accesso per evitare potenziali problemi associati a questa vulnerabilità. "Stiamo indagando sulla situazione e, se necessario, adotteremo le misure appropriate per proteggere i clienti", ha commentato un portavoce di Microsoft sulla questione.
2021-07-21 19:17:29
Autore: Vitalii Babkin