– Hace unos días se descubrió una vulnerabilidad grave en Windows, lo que dejó a los usuarios confundidos acerca de las medidas de seguridad adicionales. Comenzó con un investigador de seguridad que notó una regresión de codificación en la versión Beta de Windows 11.
Aparentemente, el contenido del Administrador de cuentas de seguridad (SAM) puede ser leído por otros usuarios con privilegios de sistema limitados. La vulnerabilidad, más tarde denominada HiveNightmare, también afectó a todas las versiones de Windows 10 lanzadas en los últimos 2,5 años.
Algunos usuarios se sorprendieron al enterarse de dos vulnerabilidades, una en Windows y otra en Linux, que podrían permitir a los piratas eludir los sistemas de seguridad del sistema operativo y acceder a recursos confidenciales.
HiveNightmare, esta vulnerabilidad de Windows bastante grave se descubrió por accidente hace unos días, cuando un investigador se enteró de que hay una regresión de codificación en la próxima versión Beta de Windows 11.
También descubrió que el contenido del Administrador de cuentas de seguridad (SAM), que es una base de datos que almacena cuentas de usuario y descriptores de seguridad para usuarios en la computadora local, podría ser leído por otros usuarios con derechos de acceso restringidos al sistema.
yarh- por alguna razón en win11, el archivo SAM ahora es LEÍDO para los usuarios.
Entonces, si tiene habilitados shadowvolumes, puede leer el archivo sam de esta manera:
Todavía no sé el alcance total del problema, pero creo que son demasiados para no ser un problema. pic.twitter.com/kl8gQ1FjFt
– Jonas L (@jonasLyk) 19 de julio de 2021
Para comprender mejor este problema, es bien sabido que a medida que los sistemas operativos y las aplicaciones se vuelven más difíciles de penetrar, un ataque exitoso requiere que se exploten dos o más vulnerabilidades.
Más precisamente, una de las vulnerabilidades permitiría a un tercero irresponsable acceder a los recursos del sistema operativo con privilegios bajos, donde se podría leer código ejecutable o datos privados. Luego, la segunda vulnerabilidad lleva el proceso a un nivel completamente nuevo, dando acceso a los recursos del sistema reservados para el almacenamiento de contraseñas u otras operaciones confidenciales.
La vulnerabilidad SeriousSAM afecta a todas las versiones de Windows 10 lanzadas en los últimos 2,5 años
-CVE-2021-36934 se puede usar para obtener acceso de administrador para las versiones de Windows 10 v1809 y posteriores
-No hay parches disponibles todavía
-PoC y algunos consejos de registro disponibleshttps://t.co/x7rXAyByqy pic.twitter.com/EEtvRBLbU3
— Catalin Cimpanu (@campuscodi) 21 de julio de 2021
Bueno, el problema mencionado anteriormente permite que terceros extraigan contraseñas protegidas criptográficamente. Además, pueden encontrar la contraseña que el usuario usó para instalar Windows, obtener la clave de la computadora para la API de protección de datos, que luego se puede usar para descifrar la clave de cifrado privada.
Otra acción que podría tomar un hacker al explorar esta vulnerabilidad es la capacidad de crear una nueva cuenta en el dispositivo de la víctima. Y como uno podría imaginar, el resultado es que los usuarios locales pueden aumentar los derechos de acceso al sistema, que es el nivel más alto de acceso en Windows.
Microsoft está investigando esta vulnerabilidad y tomará las medidas necesarias de inmediato. Esta vulnerabilidad ha sido rastreada como CVE-2021-36934, y se cree que este exploit es ampliamente utilizado y extendido por ahí.
