Nueva vulnerabilidad de Windows 10 permite a cualquier usuario que no sea administrador acceder al registro completo del sistema, incluidas las áreas sensibles. Microsoft Windows 11 y versiones Windows 10 build 1809 y superiores permiten acceso usuario sin privilegios a los ficheros SAM, SYSTEM y SECURITY . Lo cual quiere decir la vulnerabilidad permite elevación de privilegios. Vulnerabilidad llamada coloquialmente HiveNightmare y/o SeriousSAM

Microsoft Windows 10 brinda acceso de usuario sin privilegios a archivos SAM, SYSTEM y SECURITY

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

A partir de Windows 10 build 1809, los usuarios no administrativos tienen acceso a los archivos de  de registro SAM, SYSTEM y SECURITY. Esto puede permitir la escalada de privilegios locales (LPE), ya que cualquier usuario puede leer ficheros SAM, SYSTEM y SECURITY

A partir de Windows 10 build 1809, el grupo BUILTIN \ Users recibe permisos de RX para los siguientes archivos:

c:\Windows\System32\config\sam

c:\Windows\System32\config\system

c:\Windows\System32\config\security

Versiones afectadas de Windows

Volume Shadow Copy Service (VSS) 

Si está disponible una instantánea de VSS de la unidad del sistema, un usuario sin privilegios puede aprovechar el acceso a estos archivos para lograr una serie de impactos, que incluyen, entre otros:

Security Accounts Manager (SAM)

• Extraer y aprovechar los hash de contraseña de la cuenta
• Descubrir la contraseña de instalación de Windows original
• Obtener las claves de computadora DPAPI, que se pueden utilizar para descifrar todas las claves privadas del ordenador
• Obtener una cuenta de máquina de computadora, que puede usarse en un ataque de ticket plateado

Ten en cuenta que es posible que las instantáneas de VSS no estén disponibles en algunas configuraciones; sin embargo, el simple hecho de tener una unidad del sistema de más de 128 GB y luego realizar una actualización de Windows o instalar un MSI garantizará que se cree automáticamente una instantánea de VSS. Para comprobar si un sistema tiene instantáneas de VSS disponibles, ejecuta el siguiente comando desde un símbolo del sistema con privilegios:

vssadmin list shadows

Un sistema con instantáneas de VSS informará los detalles de al menos una instantánea que especifica el volumen original: (C :), como la siguiente:

vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool

(C) Copyright 2001-2013 Microsoft Corp.

Contents of shadow copy set ID: {d9e0503a-bafa-4255-bfc5-b781cb27737e}

   Contained 1 shadow copies at creation time: 7/19/2021 10:29:49 PM

      Shadow Copy ID: {b7f4115b-4242-4e13-84c0-869524965718}

 Un sistema sin instantáneas de VSS producirá un resultado como el siguiente:

vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool

(C) Copyright 2001-2013 Microsoft Corp.

No items found that satisfy the query.

Para comprobar si un sistema es vulnerable, puedes utilizar el siguiente comando desde una cuenta sin privilegios: 

icacls %windir%\system32\config\sam

Un sistema vulnerable informará BUILTIN \ Users: (I) (RX) en la salida de esta manera:

C:\Windows\system32\config\sam BUILTIN\Administrators:(I)(F)

                               NT AUTHORITY\SYSTEM:(I)(F)

                               BUILTIN\Users:(I)(RX)

                               APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)

                               APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)

Successfully processed 1 files; Failed processing 0 files

Un sistema que no es vulnerable informará un resultado como este:

C:\Windows\system32\config\sam: Access is denied.

Successfully processed 0 files; Failed processing 1 files

Impacto

Al acceder a los archivos sam, system y security de un sistema Windows 10 en un sistema vulnerable con al menos una instantánea VSS de la unidad del sistema, un atacante local autenticado puede lograr LPE, hacerse pasar por otros usuarios o lograr otra seguridad. impactos relacionados.

Soluciones - Mitigaciones

El CERT / CC desconoce actualmente una solución práctica a este problema. Considere la siguiente solución alternativa:

Restrinja el acceso a sam, el sistema y los archivos de seguridad y elimine las instantáneas de VSS

Los sistemas vulnerables pueden eliminar la ACL de los usuarios para leer estos archivos sensibles ejecutando los siguientes comandos:

icacls %windir%\system32\config\sam /remove "Users"

icacls %windir%\system32\config\security /remove "Users"

icacls %windir%\system32\config\system /remove "Users"

Una vez que se han corregido las ACL para estos archivos, se deben eliminar las instantáneas de VSS de la unidad del sistema para proteger un sistema contra la explotación. Esto se puede lograr con el siguiente comando, asumiendo que la unidad de su sistema es c:

vssadmin delete shadows /for=c: /Quiet

Confirma que se eliminaron las instantáneas de VSS ejecutando vssadmin list shadows nuevamente. Ten en cuenta que cualquier capacidad que dependa de las instantáneas existentes, como Restaurar sistema, no funcionará como se esperaba. Las instantáneas recién creadas, que contendrán las ACL adecuadas, funcionarán como se esperaba.

Esta vulnerabilidad fue revelada públicamente por Jonas Lykkegaard , con detalles adicionales proporcionados por Benjamin Delpy (creador herramienta mimikatz) y Kevin Beaumont.