Violato il Security Accounts Manager esifiltrate le pwd di Windows

Vinci tutto supernealotto e giochi Sisal

Violato il Security Accounts Manager esifiltrate le pwd di Windows
Violato il Security Accounts Manager esifiltrate le pwd di Windows
Condividi l'Articolo
RSS
Twitter
Visit Us
Follow Me
INSTAGRAM

SeriousSAM: vulnerabilità grave su tutte le versioni di Windows 10. Arriva la soluzione temporanea. Una vulnerabilità presente in Windows 10 può consentire di sottrarre dati, scalare privilegi e accedere alle password dell’account. Microsoft suggerisce un modo per aggirare il problema

Microsoft ha reso nota una procedura per aggirare una falla di elevazione dei privilegi che riguarda tutte le versioni di Windows 10. Si tratta di un problema che potrebbe consentire ad un attaccante di accedere ai dati e creare nuovi account. La falla è stata resa nota questa settimana dalla stessa società di Redmond ed identificata con il codice CVE-2021-36934 e può consentire ad un malintenzionato di eseguire il proprio codice con privilegi di sistema. Si tratta di una vulnerabilità importante, anche se è necessario aver già trovato il modo di eseguire codice sul sistema per poterla sfruttare.

Il problema riguarda in particolare il database Security Accounts Manager in tutte le versioni di Windows 10 a partire dalla 1809. Si tratta di un componente chiave di Windows 10, dal momento che è la posizione in cui vengono archivati gli account utente, le credenziali e le informazioni sul dominio. Le credenziali vengono trattate con hash in SAM, ma la falla consente agli attaccanti di esfiltrarle con hash e provare a violarle. Dal momento che i dettagli della vulnerabilità sono disponibili pubblicamente, è consigliabile agire tempestivamente con le opportune contromisure.

La vulnerabilità è stata individuata dal ricercatore Jonas Lyk, che lo ha simpaticamente battezzato “SeriousSAM“. La scoperta è stata fortuita: mentre Lyk si stava occupando di alcuni test sulla prossima versione di Windows 11 ha scoperto che mentre il sistema operativo limitava l’accesso, per tutti gli utenti con privilegi limitati, a quei fail contenenti elementi sensibili, le copie di questi file venivano salvati nei backup creati dalla funzionalità Shadow Volume Copy, che crea istantanee dei file del computer durante le operazioni del filesystem. La falla si estende anche alle cartelle System e Security.

Microsoft spiega: “Esiste una vulnerabilità di elevazione dei privilegi a causa di elenchi di controllo di accesso (ACL) eccessivamente permissivi su più file di sistema, incluso il database Security Accounts Manager”. Nel concreto, semplificando, tutti gli utenti autenticati hanno la possibilità di estrarre le credenziali memorizzate nella cache, e provare quindi a violarle o a sfruttare una procedura di pass-the-hash a seconda del contesto.

Il CERT degli Stati Uniti indica inoltre altre spiacevoli conseguenze che possono derivare dallo sfruttamento della vulnerabilità, tra cui la possibilità di ottenere le chiave DPAPI che consentono di decrittare tutte le chiavi private del sistema.

Quanto alle procedure per aggirare il problema, Microsoft consiglia di limitare l’accesso a %windir%\system32\config e, al contempo, di eliminare le copie effettuate dal servizio Volume Shadow Copy.

Condividi l'Articolo
RSS
Twitter
Visit Us
Follow Me
INSTAGRAM

Ricerca in Scienza @ Magia

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Inviami gli Articoli in Email:

Lascia il primo commento

Lascia un commento

L'indirizzo email non sarà pubblicato.


*


Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.