Se publicaron detalles de una vulnerabilidad día cero en Windows 10, parche no disponible
Jonas Lyk, especialista en ciberseguridad, reportó el hallazgo de una vulnerabilidad crítica en los sistemas Windows 10 cuya explotación permitiría a los actores de amenazas obtener altos privilegios e incluso robar contraseñas de usuario. El experto menciona que la vulnerabilidad reside en la firma en que el sistema operativo otorga acceso a sus archivos de configuración.
La falla fue apodada “SeriousSAM”, en referencia a la firma en que Windows 10 controla el acceso a carpetas como SAM, SECURITY y SYSTEM. Estas son carpetas importantes en el sistema, ya que contienen información como contraseñas con hashing para todas las cuentas de usuario en el sistema, además de configuraciones de seguridad, claves de cifrado y otros detalles confidenciales.
Q: what can you do when you have #mimikatz🥝 & some Read access on Windows system files like SYSTEM, SAM and SECURITY?
— 🥝 Benjamin Delpy (@gentilkiwi) July 20, 2021
A: Local Privilege Escalation 🥳
Thank you @jonasLyk for this Read access on default Windows😘 pic.twitter.com/6Y8kGmdCsp
Los hackers maliciosos con acceso a estos archivos podrían extraer información confidencial con el fin de acceder a contraseñas y otros detalles con fines maliciosos. Dada la información almacenada en estos directorios, solamente una cuenta de administrador de Windows podría interactuar con estos archivos.
El investigador encontró la vulnerabilidad mientras analizaba una versión de prueba de Windows 11. En su reporte, Lyk menciona que mientras Windows restringe el acceso a los archivos de configuración confidenciales sólo para los usuarios con altos privilegios, las copias de estos archivos también se guardan en archivos de respaldo debido al trabajo de Shadow Volume Copy, una función del sistema que crea registros de los archivos.
Los actores de amenazas persistentes en los sistemas afectados podrían abusar de esta falla para obtener control total sobre las más recientes versiones de Windows, lanzadas los últimos tres años. El principal riesgo es el potencial acceso al archivo de configuración de Security Account Manager (SAM), ya que esta acción permitirá a los hackers robar contraseñas con hashing y secuestrar cuentas vulnerables.
Es necesario destacar que otros archivos de configuración almacenados en las carpetas vulnerables también podrían generar información sujeta a intentos de ciberataque, incluyendo claves de cifrado DPAPI y detalles de las cuentas de administrador.
En su alerta de seguridad, Microsoft reconoce la presencia de la vulnerabilidad, que recibió el identificador CVE-2021-36934. La compañía recomienda eliminar del sistema operativo todas las copias de seguridad establecidas por Shadow Volume para mitigar el riesgo de explotación.
