Выбрать страницу

Microsoft
выпустила временное решение для устранения уязвимости во всех версиях Windows 10, которая допускает повышение привилегий и может дать злоумышленникам возможность получать доступ к данным, а также создавать новые учетные записи в системах,
пишет ресурс ZDNET.com .

На этой неделе Microsoft подтвердила брешь, помеченную как CVE-2021–36934, которая может позволить злоумышленнику запустить свой собственный код с системными привилегиями.

По мнению Microsoft, несмотря на серьезность ошибки, злоумышленник должен уже иметь доступ к системе, чтобы воспользоваться этой уязвимостью.

Ошибка затрагивает базу данных диспетчера учетных записей безопасности (SAM) во всех версиях Windows 10, начиная с версии 1809. Исправление или устранение проблемы должно стать срочным, поскольку сведения об этой уязвимости являются общедоступными.

База данных SAM – это важный компонент Windows 10, поскольку в ней хранятся учетные записи пользователей и информация о домене. Хотя учетные данные хешируются в SAM, уязвимость дает злоумышленникам возможность извлечь их в автономном режиме.

«Уязвимость, связанная с повышением привилегий, существует из-за чрезмерных разрешений списков контроля доступа (ACL) для нескольких системных файлов, включая базу данных Security Accounts Manager (SAM)», – говорится в сообщении Microsoft .

«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM. Затем хакер может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя».

Согласно The Record, на прошлых выходных Йонас Лук обнаружил эту уязвимость. Проблема называется SeriousSAM. Лук выяснил, что теневые копии SAM были доступны для использования злоумышленниками во время тестирования версии Windows 11, следующей версии Windows от Microsoft.

Компания, специализирующаяся на кибербезопасности Blumira объясняет, почему CVE-2021–36934 является серьезной ошибкой.

«Файлы базы учетных данных SYSTEM и SAM были обновлены и теперь включают список ACL для чтения, установленный для всех пользователей в некоторых версий Windows», – отмечается в сообщении компании .

«Это означает, что любой аутентифицированный пользователь имеет возможность извлечь эти кэшированные учетные данные на хосте и использовать их для автономного взлома или передачи хэша в зависимости от конфигурации среды».

В Координационном центре CERT отмечают еще несколько опасностей этой ошибки

Так злоумышленники могут:

Извлекать и использовать хэши паролей учетных записей.

Узнавать исходный пароль установки Windows.

Получать компьютерные ключи DPAPI, которые можно использовать для расшифровки всех закрытых ключей компьютера.

Получать доступ к учетной записи на компьютере, которую можно использовать для атаки с использованием «серебряных билетов».

Microsoft рекомендует пользователям вручную ограничить доступ к каталогу Windowssystem32config, чтобы никто не мог получить доступ к важным файлам.

Также пользователям необходимо самостоятельно удалить все теневые копии файлов, хранящиеся на компьютере. Microsoft рекомендует удалить еще и все точки восстановления системы, которые существовали до ограничения доступа к каталогу и при желании создать новую точку восстановления.

Однако, как отмечается в обновлении CVE: «Удаление теневых копий может повлиять на операции восстановления, включая возможность восстановления данных с помощью сторонних приложений резервного копирования»

Смотреть все статьи по теме “Информационная безопасность”