O RID Hacking é uma técnica perigosa que visa sistemas operacionais Windows, incluindo as versões 10 e 11, explorando falhas no gerenciamento de contas de usuários. A ameaça se baseia na manipulação do Relative Identifier (RID), um identificador único associado a cada conta, determinando o nível de acesso dentro do sistema. Com isso, invasores podem alterar o RID de uma conta de usuário comum, transformando-a em uma conta com privilégios de administrador, o que representa um sério risco à integridade e segurança dos dados.
Como o RID Hacking ocorre?
Esse tipo de ataque geralmente segue uma sequência de etapas para garantir que os invasores possam ganhar acesso irrestrito aos sistemas:
- Obtenção de privilégios de SYSTEM: Inicialmente, os atacantes precisam obter acesso ao nível SYSTEM do computador, o que é feito explorando vulnerabilidades conhecidas do sistema, muitas vezes utilizando malware ou phishing.
- Criação de contas ocultas: Após obter esse acesso, os invasores podem criar contas de usuário invisíveis ao sistema operacional, mas que ficam registradas no banco de dados SAM (Security Account Manager), responsável pelo armazenamento das credenciais.
- Modificação do RID: O passo crucial para a execução do ataque é a alteração do RID de uma conta oculta, ajustando-o para o valor de um RID de administrador. Isso concede à conta ocultada os mesmos privilégios de acesso que uma conta administrativa legítima.
- Controle remoto e encobrimento: Com a conta obtendo privilégios elevados, os atacantes podem então configurar o acesso remoto, adicionando a conta a grupos como “Usuários da Área de Trabalho Remota”. Para evitar ser detectados, eles também limpam os logs e alteram entradas no registro, dificultando a rastreabilidade de suas ações.
Notícias Relacionadas
Cygwin 3.6.0: A nova atualização do ambiente GNU para Windows
Cygwin 3.6.0 traz novas funcionalidades que melhoram a experiência de desenvolvimento no Windows com ferramentas do Linux.
Windows 11 terá FAQ para explicar limitações de hardware
A Microsoft está testando um novo recurso no Windows 11 para ajudar usuários a entender como as limitações de hardware afetam o desempenho. A novidade inclui uma seção de perguntas frequentes (FAQ) nas configurações do sistema.
Como se proteger contra o RID Hacking?
Proteger seu sistema contra o RID Hacking exige a adoção de medidas de segurança robustas, como:
- Restringir o acesso ao banco de dados SAM: Apenas processos autorizados devem ter acesso ao SAM, um componente crucial no gerenciamento das credenciais dos usuários.
- Autenticação multifator (MFA): O uso de MFA aumenta a segurança, dificultando o acesso não autorizado, mesmo que as credenciais sejam comprometidas.
- Bloqueio de ferramentas suspeitas: Ferramentas de administração, como PsExec e JuicyPotato, são frequentemente usadas em ataques para escalar privilégios. Bloquear essas ferramentas pode ser um bom bloqueio para os invasores.
- Desabilitar contas de convidados: Essas contas podem ser facilmente exploradas por atacantes, por isso é importante desativá-las, evitando riscos à segurança.
Além disso, a prevenção é a chave para evitar o RID Hacking, pois uma vez que o sistema é comprometido, o ataque pode continuar mesmo após reinicializações do sistema. Portanto, manter-se atualizado com patches de segurança, monitorar atividades suspeitas e implementar as práticas mencionadas pode ajudar a proteger o sistema contra essa crescente ameaça.
