В минувшие выходные ИБ-исследователь Йонас Ликкегаард (Jonas Lykkegaard) сообщил, что все версии Windows 10, выпущенные за последние 2,5 года (а также Windows 11) уязвимы перед проблемой, получившей названия SeriousSAM и HiveNightmare. Благодаря этому багу, злоумышленник может повысить свои привилегии и получить доступ к паролям от учетных записей пользователей.
yarh- for some reason on win11 the SAM file now is READ for users.
So if you have shadowvolumes enabled you can read the sam file like this:
I dont know the full extent of the issue yet, but its too many to not be a problem I think. pic.twitter.com/kl8gQ1FjFt— Jonas L (@jonasLyk) July 19, 2021
Уязвимость связана с тем, как Windows 10 контролирует доступ к таким файлам, как SAM, SECURITY и SYSTEM:
C:\Windows\System32\config\sam
C:\Windows\System32\config\security
C:\Windows\System32\config\system
Напомню, что в этих файлах хранится такая информация, как хешированные пароли всех учетных записей пользователей Windows, параметры, связанные с безопасностью, данные о ключах шифрования и прочие важные сведения о конфигурации ядра ОС. Если потенциальный злоумышленник сможет прочитать файлы, полученная информация поможет ему получить доступ к паролям пользователей и критически важным настройкам системы.
В нормальной ситуации только администратор Windows может взаимодействовать с этими файлами. Однако во время тестирования Windows 11 эксперт заметил, что хотя ОС ограничивает доступ с этим файлам для низкоуровневых пользователей, доступные копии файлов сохраняются в теневых копиях. Причем, как оказалось, эта проблема появилась в коде Windows 10 еще в 2018 году, после релиза версии 1809.
Получение доступа к файлу конфигурации Security Account Manager (SAM) всегда представляет собой огромную проблему, так как это позволяет похитить хешированные пароли, взломать эти хэши и захватить учетные записи. Хуже того, в SYSTEM и SECURITY также могут содержать аналогичные другие, не менее опасные данные, включая ключи шифрования DPAPI и детали Machine Account (используются для присоединения компьютеров к Active Directory). Ниже можно увидеть демонстрацию такой атаки, записанную создателем Mimikatz Бенджамином Делпи.
Q: what can you do when you have #mimikatz? & some Read access on Windows system files like SYSTEM, SAM and SECURITY?
— ? Benjamin Delpy (@gentilkiwi) July 20, 2021
A: Local Privilege Escalation ?
Thank you @jonasLyk for this Read access on default Windows? pic.twitter.com/6Y8kGmdCsp
Microsoft уже признала наличие проблемы, которой был присвоен идентификатор CVE-2021-36934.
«Уязвимость, связанная с повышением привилегий, работает из-за избыточных разрешений списков контроля доступа (Access Control Lists, ACL) для нескольких системных файлов, включая базу данных Security Accounts Manager (SAM).
[После успешной атаки] злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными пользовательскими правами. Чтобы воспользоваться уязвимостью, атакующий должен иметь возможность выполнить код в системе жертвы», — пишут представители Microsoft.
Пока Microsoft только изучает проблему и работает над созданием патчем, который, вероятнее всего, будет выпущен как экстренное обновление безопасности позже на этой неделе. Пока в компании лишь рекомендуют ограничить доступ к проблемной папке, а также удалить теневые копии.
Стоит отметить, что известный ИБ-эксперт Кевин Бомонт уже опубликовал PoC-эксплоит для SeriousSAM, чтобы админы могли проверить, какие из их систем уязвимы для атак.