Visão geral
Várias versões do Windows 10 concedem aos usuários não administrativos acesso de leitura a arquivos no diretório %windir%\system32\config. Isso pode permitir o escalonamento de privilégios locais (LPE).
Descrição
Com várias versões do Windows 10, o grupo BUILTIN \ Users recebe permissões RX para arquivos no diretório
% windir% \ system32 \ config.
Se uma cópia de sombra VSS da unidade do sistema estiver disponível, um usuário sem privilégios pode aproveitar o acesso a esses arquivos para obter uma série de impactos, incluindo, mas não se limitando a:
• Extraia e aproveite hashes de senha de conta.
• Descubra a senha de instalação original do Windows.
• Obtenha as chaves DPAPI do computador, que podem ser usadas para descriptografar todas as chaves privadas do computador.
• Obtenha uma conta de máquina de computador, que pode ser usada em um ataque de bilhete prata.
Observe que as cópias de sombra do VSS podem não estar disponíveis em algumas configurações; no entanto, simplesmente ter uma unidade do sistema com tamanho maior que 128 GB e executar um Windows Update ou instalar um MSI garantirá que uma cópia de sombra do VSS seja criada automaticamente. Para verificar se um sistema tem cópias de sombra VSS disponíveis, execute o seguinte comando em um prompt de comando privilegiado:
Sombras da lista vssadmin
Um sistema com cópias de sombra VSS relatará detalhes de pelo menos uma cópia de sombra que especifica Volume Original: (C:), como o seguinte:
vssadmin 1.1 - Ferramenta de linha de comando administrativa do Serviço de cópias de sombra de volume (C) Copyright 2001-2013 Microsoft Corp. Conteúdo do ID do conjunto de cópias de sombra: {d9e0503a-bafa-4255-bfc5-b781cb27737e} Continha 1 cópia de sombra no momento da criação: 19/07/2021 10:29:49 PM ID da cópia de sombra: {b7f4115b-4242-4e13-84c0-869524965718} Volume original: (C:)\\?\Volume{4c1bc45e-359f-4517-88e4-e985330f72e9}\ Volume da cópia de sombra: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 Máquina de Origem: DESKTOP-PAPIHMA Máquina de serviço: DESKTOP-PAPIHMA Provedor: 'Microsoft Software Shadow Copy provider 1.0' Tipo: ClientAccessibleWriters Atributos: Persistente, acessível ao cliente, sem liberação automática, diferencial, recuperado automaticamente
Um sistema sem cópias de sombra VSS produzirá resultados como o seguinte:
vssadmin 1.1 - Ferramenta de linha de comando administrativa do Serviço de cópias de sombra de volume (C) Copyright 2001-2013 Microsoft Corp. Nenhum item encontrado que satisfaça a consulta.
Para verificar se um sistema está vulnerável, o seguinte comando pode ser usado em um prompt de comando sem privilégios: icacls % windir%\system32\config\sam
Um sistema vulnerável relatará BUILTIN\Users: (I) (RX) na saída como este:
C: \Windows\system32\config\sam BUILTIN\Administradores: (I) (F) AUTORIDADE NT\SISTEMA: (I) (F) BUILTIN\Usuários: (I) (RX) AUTORIDADE DO PACOTE DE APLICAÇÃO\TODOS OS PACOTES DE APLICAÇÃO: (I) (RX) AUTORIDADE DO APLICATIVO DO PACOTE\TODOS OS PACOTES DO APLICATIVO RESTRITO: (I) (RX) Processado com sucesso 1 arquivo; Falha ao processar 0 arquivos
Um sistema que não é vulnerável relatará resultados como este:
C: \Windows\system32\config\sam: Acesso negado. Processado com sucesso 0 arquivos; Falha ao processar 1 arquivo
Esta vulnerabilidade foi publicamente referida como HiveNightmare e SeriousSAM, enquanto a Microsoft atribuiu CVE-2021-36934 à vulnerabilidade.
Impacto
Acessando arquivos no diretório Windows %windir%\system32\config em um sistema vulnerável com pelo menos uma cópia de sombra VSS da unidade do sistema, um invasor local autenticado pode conseguir LPE, mascarar-se de outros usuários ou obter outra segurança impactos relacionados.
Solução
Consulte o boletim da Microsoft CVE-2021-36934, que contém uma solução alternativa especificamente para:
Restrinja o acesso a %windir%\system32\config e remova as cópias de sombra do VSS
Os sistemas vulneráveis podem ativar a herança de ACL para arquivos no diretório% windir% \ system32 \ config executando o seguinte comando em um prompt elevado:
icacls %windir%\system32\config\*.* /inheritance:e
Uma vez que as ACLs forem corrigidas para esses arquivos, todas as cópias de sombra do VSS da unidade do sistema devem ser excluídas para proteger o sistema contra exploração. Isso pode ser feito com o seguinte comando:
vssadmin delete shadows /for=%systemdrive% /Quiet
Confirme se as cópias de sombra do VSS foram excluídas executando as vssadmin list shadows novamente. Observe que quaisquer recursos que dependam de cópias de sombra existentes, como Restauração do sistema, não funcionarão como esperado. As cópias de sombra recém-criadas, que conterão as ACLs adequadas, funcionarão conforme o esperado. Consulte KB5005357 para obter mais detalhes.
Fonte: Microsoft Windows 10 gives unprivileged user access to system32\config files
Posts relacionados: Microsoft lança atualizações de segurança para Windows 10 e Windows Server / Microsoft publica mitigações para o ataque “PetitPotam” e Ataques ao Exchange Server: Microsoft faz comentários pós-comprometimento