23 jul. 2021

Fundamentos y demostración de vulnerabilidad #HiveNightmware #SeriousSAM

Artículo escrito en colaboración con el equipo de HumanApis

Ahora todos los usuarios de Windows 10, que no son administradores, puede elevar sus privilegios y acceder a las credenciales de cualquier otro usuario. Obviamente se trata de una vulnerabilidad bastante extraña, que ha existido al menos desde 2018, luego del lanzamiento de Windows 10 v1809.

El pasado lunes, mientras Jonas Lyk (aka @jonasLyk) analizaba el comportamiento del nuevo Windows 11, tuiteó sobre el tema, quizás sin notar en ese momento, el impacto de su descubrimiento: cualquier usuario de Windows (BUILTIN\Users) tiene acceso de lectura al archivo c:\Windows\system32\config\SAM, lo cual viola la política de seguridad y permite realizar una Elevación Local de Privilegios (LPE). Luego, fueron descubiertos y publicados detalles adicionales, por Benjamin Delpy (aka @gentilkiwi) y Will Dorman (aka @wdormann).

La vulnerabilidad, denominada #HiveNightmware o #SeriousSAM, es el resultado de un conjunto de permisos (ACL) otorgados de forma incorrecta en los archivos del subárbol del registro en la carpeta “config” mencionada. Esto permite que los usuarios normales (no-admin) tengan acceso de lectura de la SAM, SYSTEM, SECURITY y otros archivos críticos, incluida la carpeta de ShadowCopy, donde se almacenan las instantáneas de la unidad del sistema operativo.

Esto significa que un usuario, previamente logueado y sin privilegios, puede obtener los datos de estos archivos y acceder a los hashes de las contraseñas locales, la contraseña de la cuenta, a las cuentas de servicio y otra información sensible.

Todavía se está intentando determinar el alcance de las versiones afectadas. Los informes iniciales decían que Windows 10 (versión 1809 y superior) y Windows 11 son vulnerables pero también hemos podido comprobar que diferentes versiones de Windows Server son vulnerables. US-CERT centra el problema a partir de 2018.

Kevin Beaumont ha creado un exploit que crea una copia de la SAM, accesible para cualquier usuario que haya iniciado sesión.


Generación de copia de la SAM

Obtención de los Hash NTLM

Una solución temporal a corto plazo es cambiar los permisos de la carpeta “config” y eliminar las instantáneas anteriores ShadowCopy. Es importante hacer notar que, como consecuencia, no será posible volver al estado anterior del antes de la última actualización. Microsoft asignó CVE-2021-36934 a esta vulnerabilidad e incluyó las siguientes soluciones alternativas recomendadas.

Restringir el acceso al contenido de %windir%\system32\config:

icacls %windir%\system32\config\*.* /inheritance:e
Borrar copias del Volume ShadowCopy Service (VSS):
sc config vss start=disabled
vssadmin delete shadows /for=c: /Quiet

Luego, se puede activar y crear una nueva copia del volumen, si se desea. Para la detección temprana las herramientas antivirus y EDR deberían ser capaces de detectar la lectura "ilegítima" de los archivos SAM, aunque desafortunadamente, todavía no detectan la lógica de los exploit publicados.

A continuación dos videos que muestran la obtención de los datos.
Utilizar ShadowSteal.exe para obtener la copia en un equipo Windows 10
Utilizar Hive para obtener la copia

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!