SeriousSAM: vulnerabilità grave su tutte le versioni di Windows 10. Arriva la soluzione temporanea
Una vulnerabilità presente in Windows 10 può consentire di sottrarre dati, scalare privilegi e accedere alle password dell'account. Microsoft suggerisce un modo per aggirare il problema
di Andrea Bai pubblicata il 23 Luglio 2021, alle 11:01 nel canale SicurezzaWindows
Microsoft ha reso nota una procedura per aggirare una falla di elevazione dei privilegi che riguarda tutte le versioni di Windows 10. Si tratta di un problema che potrebbe consentire ad un attaccante di accedere ai dati e creare nuovi account. La falla è stata resa nota questa settimana dalla stessa società di Redmond ed identificata con il codice CVE-2021-36934 e può consentire ad un malintenzionato di eseguire il proprio codice con privilegi di sistema. Si tratta di una vulnerabilità importante, anche se è necessario aver già trovato il modo di eseguire codice sul sistema per poterla sfruttare.
Il problema riguarda in particolare il database Security Accounts Manager in tutte le versioni di Windows 10 a partire dalla 1809. Si tratta di un componente chiave di Windows 10, dal momento che è la posizione in cui vengono archivati gli account utente, le credenziali e le informazioni sul dominio. Le credenziali vengono trattate con hash in SAM, ma la falla consente agli attaccanti di esfiltrarle con hash e provare a violarle. Dal momento che i dettagli della vulnerabilità sono disponibili pubblicamente, è consigliabile agire tempestivamente con le opportune contromisure.
yarh- for some reason on win11 the SAM file now is READ for users.
— Jonas L (@jonasLyk) July 19, 2021
So if you have shadowvolumes enabled you can read the sam file like this:
I dont know the full extent of the issue yet, but its too many to not be a problem I think. pic.twitter.com/kl8gQ1FjFt
La vulnerabilità è stata individuata dal ricercatore Jonas Lyk, che lo ha simpaticamente battezzato "SeriousSAM". La scoperta è stata fortuita: mentre Lyk si stava occupando di alcuni test sulla prossima versione di Windows 11 ha scoperto che mentre il sistema operativo limitava l'accesso, per tutti gli utenti con privilegi limitati, a quei fail contenenti elementi sensibili, le copie di questi file venivano salvati nei backup creati dalla funzionalità Shadow Volume Copy, che crea istantanee dei file del computer durante le operazioni del filesystem. La falla si estende anche alle cartelle System e Security.
Ho, and this is not only SAM, but also SYSTEM & SECURITY.
— 🥝 Benjamin Delpy (@gentilkiwi) July 20, 2021
So you can find "interesting" data, like:
- default windows install password (can be valid, trust me 👍)
- DPAPI computer keys (decrypt all computer private keys, etc.)
- Computer Machine account (silver ticket)
- ... pic.twitter.com/TLbIHv20Ih
Microsoft spiega: "Esiste una vulnerabilità di elevazione dei privilegi a causa di elenchi di controllo di accesso (ACL) eccessivamente permissivi su più file di sistema, incluso il database Security Accounts Manager". Nel concreto, semplificando, tutti gli utenti autenticati hanno la possibilità di estrarre le credenziali memorizzate nella cache, e provare quindi a violarle o a sfruttare una procedura di pass-the-hash a seconda del contesto.
Il CERT degli Stati Uniti indica inoltre altre spiacevoli conseguenze che possono derivare dallo sfruttamento della vulnerabilità, tra cui la possibilità di ottenere le chiave DPAPI che consentono di decrittare tutte le chiavi private del sistema.
Quanto alle procedure per aggirare il problema, Microsoft consiglia di limitare l'accesso a %windir%\system32\config e, al contempo, di eliminare le copie effettuate dal servizio Volume Shadow Copy.
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info@Redazione: Lapsus freudiano?
Quando ho letto il titolo mi son detto "Meno male che non ho ancora comprato Serious Sam 4!!", poi ho letto l'articolo.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".