Windows 10: ett nolldagsfel gör det möjligt att läsa känsliga filer som är teoretiskt otillgängliga

Windows 10 Clubic © Clubic.com

En ny sårbarhet noll dag har upptäckts i olika versioner av Windows 10
.

Det är en ny bricka för Windows 10. Flera versioner av operativsystemet har en sårbarhet för ökad behörighet, ett fel noll dag säkerhet presenterades av Microsoft tisdagen den 20 juli. Detta tillåter en användare som inte är administratör att läsa känsliga filer som är specifikt reserverade för administratörer. För närvarande erbjuder Microsoft inte en patch till allmänheten, bara en ” Jobba runt “.

Läs också:
Säkerhetskopiering och förväntan: nycklarna till skydd mot ransomware i sommar (video)

Ett fel som leder till en eskalering av privilegier som kan få allvarliga konsekvenser

Efter Print Nightmarehär är HiveNightmareVar Seriösa Sam. Dubbad som sådan av forskare (det är sexigare än kodnamnet CVE-2021-36934), denna typ av sårbarhet noll dag (ett oåtgärdat fel som överraskar utvecklare) består av en höjning av privilegier relaterade till alltför tillåtande åtkomstkontrollistor på flera systemfiler, inklusive SAM, säkerhetskontohanterarens databas.

Satnam Narang, forskningsingenjör på Tenable, förklarar för oss enklare att sårbarheten ” tillåter användare som inte är administratörer att läsa känsliga filer som normalt är reserverade för administratörer “. Microsoft, å sin sida, specificerar att om en illvillig individ lyckas utnyttja denna brist kan han exekvera godtycklig kod med SYSTEM-privilegier. Med andra ord skulle angriparen ha fullständig frihet att installera program, visa, ändra, extrahera eller radera data på och från din dator. Utan att glömma att han helt enkelt kunde skapa ett nytt konto och ge sig själv alla användarrättigheter.

För att utnyttja felet, tjänsten Volume Shadow Copy (Redaktörens anmärkning: VSS, tjänst som tillåter automatisk eller manuell säkerhetskopiering) måste finnas tillgänglig fortsätter Satnam Narang. ” Forskare påpekade att om systemdiskstorleken är större än 128 GB kommer VSS-skuggkopian att skapas automatiskt när en Windows-uppdatering eller MSI-fil installeras. Användare kan kontrollera om VSS-skuggkopior finns eller inte genom att köra ett specifikt kommando på deras system. »

Läs också:
Du kan kontrollera om din mobil har infekterats med Pegasus programvara, så här!

Ingen fix än, men en begränsning som erbjuds av Microsoft

Microsoft har ännu inte släppt en patch. Å andra sidan erbjuder företaget vid fönstret användarna lösningar. För det första rekommenderar Microsoft att du begränsar åtkomsten till innehållet i “%windir%\system32\config”-adressen genom att köra kommandot “icacls %windir%\system32\config\*.* /inheritance:e” via kommandotolken eller Windows PowerShell .

Sedan rekommenderas det att ta bort skuggkopiorna (även kända som “Tidigare versioner”) av VSS-tjänsten från systemet. För att göra detta, ta bort alla systemåterställningspunkter och skuggvolymer som fanns innan du begränsade åtkomsten till “%windir%\system32\config”, skapa sedan en ny systemåterställningspunkt.

Denna lösning är endast tillfällig och före ett plåster. Det är inte utan konsekvenser eftersom det kan ha en inverkan på vissa systemfunktioner, till exempel på återställningsoperationer, ” inklusive möjligheten att återställa data med tredjepartsappar för säkerhetskopiering “.

För att förhindra att en angripare utnyttjar sårbarheten råder Microsoft användare att begränsa åtkomsten och ta bort skuggkopior/tidigare versioner.

Källa: Microsoft

Relaterade Artiklar

Back to top button