SeriousSAM

Buggen SeriousSAM öppnar Windows 10 för alla hackers, med åtkomst till data och skapa nya konton.

Microsoft utfärdade en fix i onsdags i form av en workaround till en ”Privilage Elevation Bug” vilket berör alla versioner av Windows 10, för att förhindra hackare att komma åt data och skapa nya användarkonton.

Buggen som är döpt till SeriousSAM, påverkar Security Accounts Manager (SAM) databasen i Windows 10. SAM komponenten i Windows hyser inloggningsuppgifter till användarkonton och Windows Active Directory Domain information, vilket är synnerligen intressant information för angripare. En förutsättning för att utnyttja buggen är direkt eller distansåtkomst till systemet.

Buggen som spåras som CVE-2021-36934, sägs bero på onödigt vidlyftiga rättigheter till ett flertal systemfiler däribland SAM databasen. ”En angripare som framgångsrikt utnyttjar sårbarheten kan exekvera egen kod med fulla SYSTEM behörigheter. Likaså kan angriparen installera program, läsa, ändra och radera data, eller skapa nya konton med fulla rättigheter.” säger Microsoft i sin bulletin. Enkelt uttryckt kan en angripare nyttja buggen för att ladda ner SAM databasen med krypterade användarnamn och lösenord, vilka sedan kan dekrypteras offline för att senare användas till att logga in som olika användare.

Bevis att sårbarheten fungerar

Buggen rankas som viktig av Microsoft efter den rapporterades till dem av forskare Jonas Lyk föregående helg och offentliggjordes i måndags. POC (Proof-of-Concept) koden publicerades av forskare Kevin Beaumont för att hjälpa netverksadministratörer att identifiera eventuell exponering av buggen. I en Tweet av Jonas Lyk meddelar han att även berör förhandsversioner av Windows 11 (vilket planeras släppas i oktober 2021). ”Av någon anledning i Windows 11 är SAM filen nu läsbar för användarna. Så om man har ”shadowvolumes” aktiverat kan de öppna SAM filen.”

Forskaren säger att buggen upptäcktes medans han testade Windows 11. Han förklarar att SAM databasinnehållet inte är åtkomligt direkt i operativsystemet kan nås när den blir en del av Windows Volume Shadow Copy (VSS) backup. VSS är en tjänst vilket tillåter automatisk eller manuell realtids backup av systemfiler.

Han identifierar senare att samma problem finns hos Windows 10 system sedan 2018 (v1809).

Ingen Patch: Workaround Fix Rekommenderad

Det är av denna anledning som Microsoft rekommenderar att sysadmins raderar alla backup kopior av VSS filer. Tillverkaren erbjuder ingen uppdatering för att rätta buggen utan en ganska simpel workaround.

Microsoft förklarar denna tvåstegs process enligt följande: ”Radera alla Återställningspunkter och Shadow Volumes som finns innan rättigheter till katalogen %windir%\system32\config” och ”skapa en ny Återställningspunkt (om så önskas).”

De varnar även för att radering av VSS kopior ”kan påverka återläsnings processer, inkluderat möjligheten att återläsa data med tredjeparts backupprogram.”

Översatt från ursprunglig artikel av Tom Sping på Threatpost.

https://threatpost.com/win-10-serioussam/168034/