O pesquisador de segurança Jonas Likkegaard descobriu uma vulnerabilidade no sistema operacional Windows que permite a um usuário de baixo nível obter direitos de administrador em um computador local. Segundo relatos, o problema afeta o Windows 10 e o Windows 11.
No decorrer da pesquisa, verificou-se que mesmo sem direitos de administrador, um usuário do Windows pode acessar arquivos confidenciais do banco de dados do registro, a fim de aumentar de forma independente o nível de privilégios no sistema. O Registro do Windows atua como uma espécie de repositório de configuração para o sistema operacional e contém senhas em hash, configurações de usuário, configurações de aplicativos, chaves de descriptografia e muito mais.
Ao mesmo tempo, os arquivos de banco de dados associados ao registro são armazenados na pasta C: \ Windows \ system32 \ config. Estes são os arquivos SYSTEM, SECURITY, SAM, DEFAULT e SOFTWARE. Como esses arquivos contêm informações confidenciais sobre todas as contas de usuário do dispositivo e tokens de segurança usados pelos recursos do Windows, os usuários normais devem ser impedidos de visualizá-los. Isso é especialmente verdadeiro para o arquivo Security Accounts Manager (SAM), pois ele armazena as senhas com hash de todos os usuários do sistema.
Por meio de pesquisas, Lyckegaard descobriu que os arquivos de registro relacionados ao SAM do Windows 10 e do Windows 11, bem como outros bancos de dados de registro, estão disponíveis para usuários do dispositivo com poucos privilégios. Isso significa que um invasor, mesmo sem direitos de administrador, pode extrair as senhas NTLM com hash para todas as contas no dispositivo e usá-las em ataques de passagem de hash para elevar os privilégios. Apesar de arquivos como o SAM serem sempre utilizados pelo sistema e a tentativa de acessá-los ser negada, o sistema cria cópias ocultas dos mesmos, que são utilizadas pelo atacante neste tipo de ataque.
De acordo com os dados disponíveis, usuários com privilégios normais puderam acessar os arquivos mencionados anteriormente pela primeira vez no Windows 10 (1809). A Microsoft confirmou o problema e a vulnerabilidade está sendo rastreada com o identificador CVE-2021-36934. Os desenvolvedores também propuseram uma opção temporária para alterar as configurações de acesso para evitar possíveis problemas associados a esta vulnerabilidade. “Estamos investigando a situação e, se necessário, tomaremos as medidas adequadas para proteger os clientes”, comentou um porta-voz da Microsoft sobre o assunto.
2021-07-21 19:17:29
Autor: Vitalii Babkin