Исследователь Йонас Ликкегор (Jonas Lykkegaard), работающий в сфере информационной безопасности, обнаружил уязвимость в операционной системе Windows, эксплуатация которой позволяет пользователю с низким уровнем прав получить права администратора на локальном компьютере, сообщается на сайте ИВЦ Минского облисполкома. Согласно имеющимся данным, проблема затрагивает Windows 10 и Windows 11.
В ходе исследования было установлено, что даже не имея прав администратора пользователь Windows может получить доступ к конфиденциальным файлам базы данных реестра, чтобы самостоятельно повысить уровень привилегий в системе. Реестр Windows работает как своеобразный репозиторий конфигураций для операционной системы и содержит в себе хешированные пароли, пользовательские настройки, параметры конфигурации для приложений, ключи дешифрования и многое другое.
В это же время файлы базы данных, связанные с реестром, хранятся в папке C:\Windows\system32\config. Речь идёт о файлах SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE. Поскольку в этих файлах содержится конфиденциальная информация, касающаяся всех учётных записей пользователей устройства и токенов безопасности, используемых функциями Windows, пользователям с обычным уровнем прав следует запретить их просмотр. Особенно это касается файла диспетчера учётных записей безопасности (SAM), поскольку в нём хранятся хешированные пароли всех пользователей системы.
В ходе исследования Ликкегор обнаружил, что файлы реестра Windows 10 и Windows 11, связанные с SAM, а также другие базы данных реестра, доступны пользователям устройства с низким уровнем привилегий. Это означает, что злоумышленник даже без прав администратора может извлечь хешированные пароли NTLM для всех учётных записей на устройстве и использовать их в атаках с передачей хеша для повышения привилегий. Несмотря на то, что файлы вроде SAM всегда используются системой и при попытке получить доступ к ним будет выдан отказ, система создаёт их скрытые копии, которые и используются злоумышленником при атаке такого типа.
Согласно имеющимся данным, пользователи с обычным уровнем прав впервые получили возможность доступа к упомянутым ранее файлам в Windows 10 (1809). Microsoft подтвердила наличие проблемы, а сама уязвимость отслеживается под идентификатором CVE-2021-36934. Разработчики также предложили временный вариант изменения настроек доступа, который позволит избежать потенциальных неприятностей, связанных с данной уязвимостью. «Мы расследуем ситуацию и при необходимости примем соответствующие меры для защиты клиентов», — прокомментировал данный вопрос представитель Microsoft.