El error «HiveNightmare» de Windows podría exponer los archivos del sistema a usuarios que no son administradores


Un atacante que aproveche esta falla podría usar los privilegios del sistema para instalar programas, ver o eliminar datos y crear cuentas con derechos de usuario completos.

security.jpg

iStock / weerapatkiatdumrong

Otro día, otro error de Home windows. Después de una serie de fallas recientes descubiertas en Home windows, la última vulnerabilidad denominada «HiveNightmare» podría permitir que alguien pusiera en peligro su sistema explotando una debilidad de seguridad que afecta al Registro. En este momento, no hay ningún parche disponible para corregir la falla en cambio, Microsoft ofrece una serie de soluciones alternativas diseñadas para proteger su computadora de este nuevo dilema.

VER: Lista de comprobación: protección de los sistemas Windows 10 (TechRepublic Quality)

Específicamente, HiveNightmare (también conocido como SeriousSAM) permite a los usuarios que no son administradores acceder al contenido de diferentes archivos del sistema de Windows, incluidos los archivos de la colmena de Protection Account Manager (SAM), Method y Protection Registry. Ubicado en el directorio program32 config, el SAM alberga datos críticos como cuentas de usuario y contraseñas, por lo que normalmente solo es accesible para cuentas y procesos privilegiados y está bloqueado cuando está en uso.

En su descripción del mistake (CVE-2021-36934), Microsoft dijo que los atacantes que exploten la falla podrían adquirir privilegios del sistema para instalar programas, ver o eliminar datos y crear cuentas con derechos de usuario completos. La vulnerabilidad afecta a todas las versiones de Windows 10, incluidas 1809, 1909, 2004, 20H2 y 21H1, así como a Home windows Server 2019.

Microsoft culpó de esta debilidad a las Listas de regulate de acceso demasiado permisivas para múltiples archivos del sistema. En su propia nota de vulnerabilidad, CERT explicó que los usuarios no administrativos tienen acceso RX (lectura y ejecución) a los archivos en el directorio system32 config. Más allá del posible impacto descrito por Microsoft, el CERT dijo que si un Servicio de instantáneas de volumen de la unidad del sistema está disponible, un usuario sin privilegios también podría realizar las siguientes acciones:

  • Extraiga y aproveche los hash de contraseña de la cuenta.
  • Descubra la contraseña de instalación de Home windows primary.
  • Obtener DPAPI claves de computadora, que se pueden utilizar para descifrar todas las claves privadas de la computadora.
  • Obtenga una cuenta de máquina de computadora, que se puede utilizar en un ataque del billete de plata.

Observando que el defecto fue descubierto por el usuario de Twitter Jonas L y verificado por otra cuenta conocida como @GossiTheDog, el sitio de noticias de tecnología Neowin informó que la vulnerabilidad apareció cuando Microsoft lanzó la reciente Actualización KB5004605, que agregó el cifrado estándar de cifrado avanzado para ciertas operaciones de contraseña en Windows.

VER: Fotos: características de Home windows 11 que necesita saber (TechRepublic)

Microsoft etiquetó la vulnerabilidad HiveNightmare como Importante, un paso por debajo de Crítica, y evaluó su estado como «Explotación más probable, «lo que significa que sería un objetivo atractivo para los atacantes y, por lo tanto, es más probable que se creen exploits.

«Microsoft probablemente calificó esto como importante frente a crítico porque requiere que un atacante ya esté en una crimson para explotar», dijo Josh Smith, analista de amenazas cibernéticas de Menace Intelligence y Fast Reaction en Nuspire. «Es una escalada de privilegios community. Con eso, es fácilmente explotable y afecta a Home windows 10 versión 1809 y más reciente. Las organizaciones deberían tomar esto en serio como si un atacante se afianzara en una purple, pudieran crear cuentas de administrador, instalar programas y modificar datos.»

Para ver si su computadora es vulnerable a la falla, CERT sugiere abrir un símbolo del sistema y escribir lo siguiente: icacls% windir% program32 config sam. Si la salida incluye una entrada para BUILTIN Buyers: (I) (RX), entonces su sistema es vulnerable.

Aún no hay ningún parche disponible para esta falla, lo que llevó a Microsoft y CERT a sugerir las siguientes soluciones para cualquier individuo u organización preocupada por la explotación de este agujero.

  1. Abra un símbolo del sistema como administrador. Escriba el siguiente comando: icacls% windir% technique32 config *. * / herencia: e
  2. Eliminar cualquiera
    Puntos de restauración del sistema

    y Volúmenes de sombra que creó antes de restringir el acceso a% windir% method32 config. Para eliminar los volúmenes de sombra, escriba el siguiente comando: vssadmin eliminar sombras / for = c: / Peaceful

  3. Finalmente, cree un nuevo punto de restauración del sistema (si lo desea).

Es possible que el próximo paso de Microsoft sea crear un parche para corregir este defecto. Pero Smith dijo que no espera ver un parche fuera de banda a menos que la prueba de explotación masiva se haga pública. Si es así, eso significa que es posible que tengamos que esperar hasta el 10 de agosto (el próximo martes de parches de Microsoft) para obtener una solución.

Ver también





Enlace a la noticia unique