by al10sk29dj38
Bookmark

Windows 10 oferece acesso aos arquivos do system32\config a usuário sem privilégios

versões windows 10 concedem acesso de leitura a arquivos no diretório %windir%\system32\config e isso pode permitir o escalonamento de privilégios locais

Visão geral

Várias versões do Windows 10 concedem aos usuários não administrativos acesso de leitura a arquivos no diretório %windir%\system32\config. Isso pode permitir o escalonamento de privilégios locais (LPE).

Descrição

Com várias versões do Windows 10, o grupo BUILTIN \ Users recebe permissões RX para arquivos no diretório

 % windir% \ system32 \ config.

Se uma cópia de sombra VSS da unidade do sistema estiver disponível, um usuário sem privilégios pode aproveitar o acesso a esses arquivos para obter uma série de impactos, incluindo, mas não se limitando a:

• Extraia e aproveite hashes de senha de conta.

• Descubra a senha de instalação original do Windows.

• Obtenha as chaves DPAPI do computador, que podem ser usadas para descriptografar todas as chaves privadas do computador.

• Obtenha uma conta de máquina de computador, que pode ser usada em um ataque de bilhete prata.

Observe que as cópias de sombra do VSS podem não estar disponíveis em algumas configurações; no entanto, simplesmente ter uma unidade do sistema com tamanho maior que 128 GB e executar um Windows Update ou instalar um MSI garantirá que uma cópia de sombra do VSS seja criada automaticamente. Para verificar se um sistema tem cópias de sombra VSS disponíveis, execute o seguinte comando em um prompt de comando privilegiado:

Sombras da lista vssadmin

Um sistema com cópias de sombra VSS relatará detalhes de pelo menos uma cópia de sombra que especifica Volume Original: (C:), como o seguinte:

vssadmin 1.1 - Ferramenta de linha de comando administrativa do Serviço de cópias de sombra de volume
(C) Copyright 2001-2013 Microsoft Corp.

Conteúdo do ID do conjunto de cópias de sombra: {d9e0503a-bafa-4255-bfc5-b781cb27737e}
   Continha 1 cópia de sombra no momento da criação: 19/07/2021 10:29:49 PM
      ID da cópia de sombra: {b7f4115b-4242-4e13-84c0-869524965718}
         Volume original: (C:)\\?\Volume{4c1bc45e-359f-4517-88e4-e985330f72e9}\
         Volume da cópia de sombra: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
         Máquina de Origem: DESKTOP-PAPIHMA
         Máquina de serviço: DESKTOP-PAPIHMA
         Provedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, acessível ao cliente, sem liberação automática, diferencial, recuperado automaticamente

Um sistema sem cópias de sombra VSS produzirá resultados como o seguinte:

vssadmin 1.1 - Ferramenta de linha de comando administrativa do Serviço de cópias de sombra de volume
(C) Copyright 2001-2013 Microsoft Corp.

Nenhum item encontrado que satisfaça a consulta.

Para verificar se um sistema está vulnerável, o seguinte comando pode ser usado em um prompt de comando sem privilégios: icacls % windir%\system32\config\sam

Um sistema vulnerável relatará BUILTIN\Users: (I) (RX) na saída como este:

C: \Windows\system32\config\sam BUILTIN\Administradores: (I) (F)
                               AUTORIDADE NT\SISTEMA: (I) (F)
                               BUILTIN\Usuários: (I) (RX)
                               AUTORIDADE DO PACOTE DE APLICAÇÃO\TODOS OS PACOTES DE APLICAÇÃO: (I) (RX)
                               AUTORIDADE DO APLICATIVO DO PACOTE\TODOS OS PACOTES DO APLICATIVO RESTRITO: (I) (RX)

Processado com sucesso 1 arquivo; Falha ao processar 0 arquivos

Um sistema que não é vulnerável relatará resultados como este:

C: \Windows\system32\config\sam: Acesso negado.
Processado com sucesso 0 arquivos; Falha ao processar 1 arquivo

Esta vulnerabilidade foi publicamente referida como HiveNightmare e SeriousSAM, enquanto a Microsoft atribuiu CVE-2021-36934 à vulnerabilidade.

usuários não administrativos

Impacto

Acessando arquivos no diretório Windows %windir%\system32\config em um sistema vulnerável com pelo menos uma cópia de sombra VSS da unidade do sistema, um invasor local autenticado pode conseguir LPE, mascarar-se de outros usuários ou obter outra segurança impactos relacionados.

Solução

Consulte o boletim da Microsoft CVE-2021-36934, que contém uma solução alternativa especificamente para:

Restrinja o acesso a %windir%\system32\config e remova as cópias de sombra do VSS

Os sistemas vulneráveis ​​podem ativar a herança de ACL para arquivos no diretório% windir% \ system32 \ config executando o seguinte comando em um prompt elevado:

icacls %windir%\system32\config\*.* /inheritance:e

Uma vez que as ACLs forem corrigidas para esses arquivos, todas as cópias de sombra do VSS da unidade do sistema devem ser excluídas para proteger o sistema contra exploração. Isso pode ser feito com o seguinte comando:

vssadmin delete shadows /for=%systemdrive% /Quiet

Confirme se as cópias de sombra do VSS foram excluídas executando as vssadmin list shadows novamente. Observe que quaisquer recursos que dependam de cópias de sombra existentes, como Restauração do sistema, não funcionarão como esperado. As cópias de sombra recém-criadas, que conterão as ACLs adequadas, funcionarão conforme o esperado. Consulte KB5005357 para obter mais detalhes.

Fonte: Microsoft Windows 10 gives unprivileged user access to system32\config files

Posts relacionados: Microsoft lança atualizações de segurança para Windows 10 e Windows Server / Microsoft publica mitigações para o ataque “PetitPotam” e Ataques ao Exchange Server: Microsoft faz comentários pós-comprometimento