La calor de juliol no està portant bones notícies per als usuaris de Microsoft Windows 10. Ja fa uns dies parlàvem de l' PrintNightmare, Doncs bé, sembla que ara estrenem un altre episodi, l'anomenat "HiveNightmare" o "SeriousSAM".
L'investigador de seguretat Jonas Lykkegaard va ser el primer a detectar-ho. Per part de Microsoft, el dia 20 de juliol s'ha confirmat que és una nova vulnerabilitat crítica que afecta el sistema operatiu Windows 10 (CVE-2021-36934).
Concretament la vulnerabilitat es troba a l'arxiu Security Account Manager (SAM). Un atacant amb privilegis d'usuari local limitats podria obtenir les contrasenyes hash i usar-les amb relativa facilitat per elevar els seus privilegis a administrador. A partir d'allí, l'atacant pot tenir control absolut per fer el que vulgui.
Què ens explica Microsoft de CVE-2021-36934?
Segons Microsoft, un atacant pot «instal·lar programes; veure, canviar o eliminar dades; o crear nous comptes amb drets d'usuari complets ». Totes les versions de Windows 10 des de 1809 d'ara endavant, són vulnerables a aquest atac.
A més, es dóna la particularitat que la 'instantània' de la unitat de sistema on es poden trobar aquests arxius es crea quan algú realitza una actualització de Windows si aquesta unitat té més de 128 GB. Per tant, encara que la seva versió de Windows 10 no es va veure afectada inicialment, podria ser-ho després de l'actualització.
Hi ha alguna solució?
Lamentablement, de moment, encara no hi ha cap pegat.
Microsoft ha emès una solució alternativa per a restringir l'accés mitjançant el símbol de sistema o PowerShell i després eliminar els punts de restauració de sistema existents. Aquesta solució es pot trobar aquí.
Restringir l'accés al contingut de% windir% \ system32 \ config
Símbol de sistema (executar com a administrador): icacls %windir% \ system32 \ config \ *. * / inheritance: i
Windows PowerShell (executar com a administrador): icacls $env: windir \ system32 \ config \ *. * / inheritance: i
Eliminar instantànies de el Servei d'instantànies de volum (VSS)
- Elimineu els punts de restauració de sistema i els volums d'ombra que existien abans de restringir l'accés a% windir% \ system32 \ config.
- Creeu un nou punt de restauració de sistema (si ho desitja).
Impacte de la solució alternativa: Eliminar les instantànies podria afectar les operacions de restauració, inclosa la capacitat de restaurar dades amb aplicacions de seguretat de tercers. Per obtenir més informació sobre com eliminar instantànies, consulteu KB5005357- Eliminar instantànies de volum.
Nota: Ha de restringir l'accés i eliminar instantànies per evitar l'explotació d'aquesta vulnerabilitat.
Des del SOC de Infordisa estarem atents a qualsevol novetat.
