Исследователь безопасности обнаружил, что пользователи с низкими привилегиями могут получать доступ к чувствительным файлам базы данных системного реестра. Реестр Windows 10 и Windows 11 выступает в роли репозитория конфигураций операционной системы и содержит хешированные пароли, пользовательские настройки, параметры конфигурации для приложений, ключи дешифрования системы и многое другое.
База данных реестра разбита на разные файлы, такие как SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE, которые располагаются в папке по пути: C:\Windows\system32\config.
Поскольку эти файлы содержат конфиденциальную информацию обо всех учетных записях пользователей на устройстве и токенах безопасности, используемых функциями Windows, то их просмотр должен быть заблокирован для обычных пользователей с низкими привилегиями.
Это в особенности касается файла диспетчера учетных записей безопасности (Security Account Manager, SAM), который содержит хешированные пароли всех пользователей в системе. Данную информацию злоумышленники могут использовать для подтверждения своей личности.
Файл SAM доступен для просмотра любому пользователю
19 июля 2021 года исследователь безопасности Йонас Ликкегаард (Jonas Lykkegaard) связался с порталом BleepingComputer и сообщил о своей находке. Оказалось, что файлы реестра Windows 10 и Windows 11, связанные с диспетчером учетных записей безопасности (SAM) и всеми другими базами данных реестра, доступны для группы «Пользователи» с низкими привилегиями на устройстве.
Эта информация подтвердилась при тестировании на полностью обновленной машине под управлением Windows 10, версия 20H2.
С такими низкими разрешениями на файлы, злоумышленник с ограниченными привилегиями на устройстве может извлечь NTLM-хеш паролей всех учетных записей на устройстве и использовать эти хэши в атаках для получения повышенных привилегий.
Поскольку файлы реестра, такие как файл SAM, постоянно используются операционной системой, то при попытке доступа к файлу вы получите сообщение о нарушении прав доступа, поскольку файлы открываются и блокируются другой программой.
Однако, Ликкегаард утверждает, что получить доступ к файлам реестра можно через теневые тома Windows без нарушения прав доступа. Например, злоумышленники могут использовать следующий путь пространства имен устройства Win32 теневых копий томов для доступа к SAM-файлу любого пользователя на компьютере:
\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM
Используя эти низкие и некорректные файловые разрешения, злоумышленники смогут легко украсть NTLM-хеш пароля учетной записи с повышенными правами, чтобы получить более высокие привилегии.
Атака SeriousSAM (HiveNightmare) продемонстрирована в видео исследователя безопасности Бенджамина Делпи (Benjamin Delpy). Он является создателем программы для извлечения учетных данных Mimikatz, которая использовалась для получения повышенных привилегий.
По мнению Делпи применение данной уязвимости не ограничивается кражей NTLM-хешей и повышением привилегий, ее также можно использовать для проведения атак типа «Silver Ticket».
Неясно, по какой причина Microsoft изменила разрешения в реестре, чтобы обычные пользователи могли просматривать чувствительные файлы.
Эксперты по безопасности Уилл Дорманн (Will Dormann) и Джефф МакДжанкин (Jeff McJunkin) отметили, что Microsoft представила изменения разрешений в Windows 10, версия 1809.
Дорманн сообщил, что при чистой установке Windows 10, версия 20H2 низкие файловые разрешения не обнаружены.
Похоже, что Microsoft устранила проблему с разрешениями при выполнении чистой установки системы, но не исправила проблему при обновлении до новых версий.
В опубликованном 20 июля бюллетене безопасности Microsoft подтвердила наличие данной уязвимости «нулевого дня», получившей идентификатор CVE-2021-36934 (SeriousSAM, HiveNightmare). Компания сообщает:
Мы расследуем ситуацию и при необходимости предпримем соответствующие меры для защиты наших клиентов.
Редмонд рекомендует изменить разрешения для папки C:\Windows\system32\config, чтобы снизить риск эксплуатации уязвимости.
Последние статьи #Microsoft
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5