El investigador de seguridad Jonas Lykkegaard ha descubierto una nueva vulnerabilidad que afecta a Windows 10. Se trata de un problema que permite que los archivos del Registro y sus Bases de Datos sean accesibles al grupo «Usuarios» que no tiene privilegios elevados en un dispositivo.
Esto quiere decir que un usuario regular, sin privilegios de Administrador, puede acceder a archivos que contienen información sensible de todas las cuentas del dispositivo. Esto es especialmente problemático en el caso de los archivos del registro asociados con el Administrador de Cuentas de Seguridad (SAM), la base de datos que almacena las contraseñas de los usuarios cifradas.
El fallo puede ser aprovechado por cualquier tipo de usuario para ganar privilegios de Administrador. Esto representa un gran problema ya que cualquier atacante, incluso teniendo privilegios limitados, puede extraer las contraseñas con hash de NTLM de todas las cuentas de un dispositivo y utilizar esos hashes en ataques pass-the-hash para obtener privilegios elevados.
Un ataque pass-the-hash es una técnica en la que el atacante captura el hash de la contraseña en lugar de los caracteres de la misma, y simplemente los usa para autenticarse sin necesidad de tener que descifrar el hash y obtener el password en texto plano.
Microsoft ya ha reconocido la vulnerabilidad identificada como CVE-2021-36934 aún no se ha agregado una calificación de riesgo oficialmente, y la ha descrito como una de elevación de privilegios debido a unas Listas de Control de Acceso (ACLs) demasiado permisivas en múltiples archivos del sistema.
Es importante destacar que el atacante necesita poder ejecutar código en el sistema de la víctima para poder ejecutar esta vulnerabilidad. Microsoft está en proceso de investigación y de momento no han encontrado evidencia de que el fallo esté siendo explotado.
La vulnerabilidad afecta a Windows 10 versiones superiores a 1809.
Siga las recomendaciones de mitigación ofrecidas por Microsoft e instale los parches de seguridad disponibles.
Después de instalar la actualización de seguridad, debe eliminar manualmente todas las instantáneas de los archivos del sistema, incluida la base de datos SAM, para mitigar por completo esta vulnerabilidad. La simple instalación de esta actualización de seguridad no mitigará por completo esta vulnerabilidad. Consulte KB5005357- Eliminar instantáneas de volumen.
Soluciones alternativas para los clientes de Windows que mitigan el riesgo de explotación inmediata:
- Restringir el acceso al contenido de %windir%\system32\config
- Abra el símbolo del sistema o Windows PowerShell como administrador.
- Ejecute este comando:
- Eliminar instantáneas del Servicio de instantáneas de volumen (VSS)
- Elimine los puntos de restauración del sistema y los volúmenes de sombra que existían antes de restringir el acceso a %windir%\system32\config.
- Cree un nuevo punto de restauración del sistema.
Los usuarios de Windows 10 deben aplicar ambas soluciones para mitigar el riesgo de explotación. Microsoft ha notado que eliminar las instantáneas puede afectar las operaciones de restauración, incluida la capacidad de restaurar datos con aplicaciones de respaldo de terceros.
Información adicional: