Uma nova falha de segurança acaba de ser descoberta tanto no Windows 10 quanto no novo Windows 11 e que pode ser explorada para obter acesso administrativo ao registro. Uma vulnerabilidade de escalonamento de privilégio local foi descoberta no Windows 10 e pode ser usada para obter acesso a áreas do registro que de outra forma seriam inacessíveis. Por sua vez, esse acesso permite descobrir senhas, obter chaves de descriptografia DPAPI e muito mais. O problema também afeta o Windows 11.
Chamado de HiveNightmare (devido ao acesso que permite chegar ao registry hives), a vulnerabilidade de dia zero vem logo após a falha de segurança do PrintNightmare. Embora nenhum patch esteja disponível no momento, a Microsoft forneceu detalhes de uma solução alternativa nesse momento.
A vulnerabilidade permite o acesso não autorizado a seções muito confidenciais do registro, especificamente os arquivos de seção Security Account Manager (SAM), SYSTEM e SECURITY. O US-CERT consultivo adverte que a falha de segurança afeta o Windows versão 10 1809 e superior, e um pesquisador de segurança descobriu que isso inclui o Windows 11.
- A consultoria US-CERT alerta sobre o impacto potencial da falha, apontando uma série de resultados indesejáveis ??”incluindo, mas não se limitando a”:
- Extraia e aproveite hashes de senha de conta.
- Descubra a senha de instalação original do Windows.
- Obtenha as chaves DPAPI do computador, que podem ser usadas para descriptografar todas as chaves privadas do computador.
- Obtenha uma conta de máquina de computador, que pode ser usada em um ataque de bilhete prata.
HiveNightmare: Windows 10 e Windows 11 têm nova vulnerabilidade de segurança
A vulnerabilidade está sendo rastreada como CVE-2021-36934 e a Microsoft a descreve dizendo:
Existe uma vulnerabilidade de elevação de privilégio devido a listas de controle de acesso (ACLs) excessivamente permissivas em vários arquivos de sistema, incluindo o banco de dados do Gerenciador de contas de segurança (SAM). Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos de usuário totais. Um invasor deve ter a capacidade de executar código no sistema da vítima para explorar esta vulnerabilidade.
Foi o pesquisador de segurança Jonas Lyk quem descobriu e compartilhou detalhes da falha, com trabalho adicional fornecido por Benjamin Delpy. A pesquisa de Lyk também descobriu a vulnerabilidade do Windows 11:
A Microsoft compartilhou detalhes da seguinte solução alternativa que deve ajudar a mitigar a vulnerabilidade até que um patch seja produzido:
Restringir o acesso ao conteúdo de% windir% \system32\config
- Abra o Prompt de Comando ou Windows PowerShell como administrador.
- Execute este comando: icacls% windir% \ system32 \ config \ *. * / Inheritance: e
Excluir cópias de sombra do Volume Shadow Copy Service (VSS)
- Exclua todos os pontos de restauração do sistema e volumes de sombra que existiam antes de restringir o acesso a% windir% \system32\config.
- Crie um novo ponto de restauração do sistema (se desejar).
Impacto da solução alternativa A exclusão de cópias de sombra pode afetar as operações de restauração, incluindo a capacidade de restaurar dados com aplicativos de backup de terceiros.
Observação Você deve restringir o acesso e excluir cópias de sombra para evitar a exploração desta vulnerabilidade.
O comunicado US-CERT inclui a seguinte solução alternativa:
Restrinja o acesso aos arquivos sam, sistema e segurança e remova as cópias de sombra do VSS
Os sistemas vulneráveis ??podem remover a ACL de usuários para ler esses arquivos confidenciais executando os seguintes comandos:
icacls %windir%\system32\config\sam /remove "Users"
icacls %windir%\system32\config\security /remove "Users"
icacls %windir%\system32\config\system /remove "Users"
Depois que as ACLs forem corrigidas para esses arquivos, todas as cópias de sombra do VSS da unidade do sistema devem ser excluídas para proteger o sistema contra exploração. Isso pode ser feito com o seguinte comando, supondo que a unidade do seu sistema seja c ::
vssadmin delete shadows /for=c: /Quiet
Confirme se as cópias de sombra do VSS foram excluídas executando as sombras da lista vssadmin novamente. Observe que quaisquer recursos que dependem de cópias de sombra existentes, como Restauração do sistema, não funcionarão como esperado. As cópias de sombra recém-criadas, que conterão as ACLs adequadas, funcionarão conforme o esperado.
Via Betanews