Uma batata quente: Assim como a Microsoft está lutando contra cinco falhas de segurança diferentes que afetam o spooler de impressão do Windows, os pesquisadores de segurança descobriram o próximo pesadelo da empresa – uma falha de permissão apelidada de HiveNightmare ou SeriousSAM. A nova vulnerabilidade é menos facilmente explorada, mas um invasor motivado pode usá-la para obter o nível máximo de privilégios de acesso possível no Windows e roubar dados e senhas.
Na segunda-feira, o pesquisador de segurança Jonas Lykkegaard revelado no Twitter que ele pode ter encontrado uma vulnerabilidade séria no Windows 11. A princípio, ele pensou que estava olhando para uma regressão de software em uma versão do Insider do Windows 11, mas percebeu que o conteúdo de um arquivo de banco de dados associado ao Registro do Windows estava acessível para usuários regulares sem privilégios elevados.
Especificamente, Jonas descobriu que podia ler o conteúdo do Security Account Manager (SAM), que mantém as senhas em hash de todos os usuários em um PC WIndows, bem como de outros bancos de dados do Registro.
Este foi confirmado por Kevin Beaumont e Jeff McJunkin, que fizeram alguns testes adicionais e descobriram que o problema afeta as versões do Windows 10 1809 e superiores, até a última compilação do Insider do Windows 11. As versões 1803 e inferiores não são afetadas, assim como todas as versões do Windows Server.
Oh céus. Eu preciso validar isso sozinho, mas parece que o MS pode ter feito uma besteira e tornou o banco de dados SAM (senhas de usuário) acessível para usuários não administradores no Win 10. https://t.co/cdxiH1AIuB
– Kevin Beaumont (@GossiTheDog) 19 de julho de 2021
A Microsoft reconheceu a vulnerabilidade e atualmente está trabalhando em um patch. O boletim de segurança da empresa explica que um agente mal-intencionado que explorou com sucesso essa falha seria capaz de criar uma conta na máquina afetada que teria privilégios de nível de sistema, que é o nível mais alto de acesso no Windows. Isso significa que o invasor pode visualizar e alterar seus arquivos, instalar aplicativos, criar novas contas de usuário e executar qualquer código com privilégios elevados.
É um problema sério, mas há a chance de não ter sido amplamente explorado, já que o invasor precisaria comprometer o sistema de destino primeiro usando uma vulnerabilidade diferente. E de acordo com a Equipe de Preparação para Emergências de Computadores dos EUA, o sistema em questão precisa ter o Serviço de Cópias de Sombra de Volume ativado.
A Microsoft forneceu uma solução alternativa para as pessoas que procuram atenuar o problema, que envolve restringir o acesso ao conteúdo da pasta Windows system32 config e excluir pontos de restauração do sistema e cópias de sombra. No entanto, isso pode interromper as operações de restauração e isso inclui restaurar o sistema com a ajuda de aplicativos de backup de terceiros.
Se você está procurando uma leitura aprofundada sobre a vulnerabilidade e como ela pode ser explorada, você pode encontrar uma aqui. De acordo com a Qualys, a comunidade de segurança descobriu duas vulnerabilidades muito semelhantes no Linux, que você pode ler aqui e aqui.