Уязвимость в Windows 10 позволяет получить привилегии администратора - «Новости»

  • 10:30, 22-июл-2021
  • Вёрстка / Отступы и поля / Заработок / Самоучитель CSS / Изображения / Новости / Списки
  • Артемий
  • 0

В минувшие выходные ИБ-исследователь Йонас Ликкегаард (Jonas Lykkegaard) сообщил, что все версии Windows 10, выпущенные за последние 2,5 года (а также Windows 11) уязвимы перед проблемой, получившей названия SeriousSAM и HiveNightmare. Благодаря этому багу, злоумышленник может повысить свои привилегии и получить доступ к паролям от учетных записей пользователей.



Уязвимость связана с тем, как Windows 10 контролирует доступ к таким файлам, как SAM, SECURITY и SYSTEM:

C:Windowsystem32configam C:Windowsystem32configecurity C:Windowsystem32configystem

Напомню, что в этих файлах хранится такая информация, как хешированные пароли всех учетных записей пользователей Windows, параметры, связанные с безопасностью, данные о ключах шифрования и прочие важные сведения о конфигурации ядра ОС. Если потенциальный злоумышленник сможет прочитать файлы, полученная информация поможет ему получить доступ к паролям пользователей и критически важным настройкам системы.

В нормальной ситуации только администратор Windows может взаимодействовать с этими файлами. Однако во время тестирования Windows 11 эксперт заметил, что хотя ОС ограничивает доступ с этим файлам для низкоуровневых пользователей, доступные копии файлов сохраняются в теневых копиях. Причем, как оказалось, эта проблема появилась в коде Windows 10 еще в 2018 году, после релиза версии 1809.

Получение доступа к файлу конфигурации Security Account Manager (SAM) всегда представляет собой огромную проблему, так как это позволяет похитить хешированные пароли, взломать эти хэши и захватить учетные записи. Хуже того, в SYSTEM и SECURITY также могут содержать аналогичные другие, не менее опасные данные, включая ключи шифрования DPAPI и детали Machine Account (используются для присоединения компьютеров к Active Directory). Ниже можно увидеть демонстрацию такой атаки, записанную создателем Mimikatz Бенджамином Делпи.


Microsoft уже признала наличие проблемы, которой был присвоен идентификатор CVE-2021-36934.


«Уязвимость, связанная с повышением привилегий, работает из-за избыточных разрешений списков контроля доступа (Access Control Lists, ACL) для нескольких системных файлов, включая базу данных Security Accounts Manager (SAM).


[После успешной атаки] злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными пользовательскими правами. Чтобы воспользоваться уязвимостью, атакующий должен иметь возможность выполнить код в системе жертвы», — пишут представители Microsoft.


Пока Microsoft только изучает проблему и работает над созданием патчем, который, вероятнее всего, будет выпущен как экстренное обновление безопасности позже на этой неделе. Пока в компании лишь рекомендуют ограничить доступ к проблемной папке, а также удалить теневые копии.


Стоит отметить, что известный ИБ-эксперт Кевин Бомонт уже опубликовал PoC-эксплоит для SeriousSAM, чтобы админы могли проверить, какие из их систем уязвимы для атак.


В минувшие выходные ИБ-исследователь Йонас Ликкегаард (Jonas Lykkegaard) сообщил, что все версии Windows 10, выпущенные за последние 2,5 года (а также Windows 11) уязвимы перед проблемой, получившей названия SeriousSAM и HiveNightmare. Благодаря этому багу, злоумышленник может повысить свои привилегии и получить доступ к паролям от учетных записей пользователей. yarh- for some reason on win11 the SAM file now is READ for users. So if you have shadowvolumes enabled you can read the sam file like this: I dont know the full extent of the issue yet, but its too many to not be a problem I think. pic.twitter.com/kl8gQ1FjFt

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!