Windows 11: primera vulnerabilidad detectada

Windows 11: primera vulnerabilidad detectada
Santiago Jiménez
1 minuto
Windows 11: primera vulnerabilidad detectada

Windows 11, primera vulnerabilidad, algunos investigadores de seguridad ya han encontrado graves vulnerabilidades heredadas Windows 10. Contenido del Archivo de EE. UU. También es posible leer (Security Account Manager) con privilegios limitados. Esto permite ataques con mayores privilegios, como la ejecución de código arbitrario en la computadora. La empresa Redmond tiene una solución interina.

Error en Windows 11: comencemos

El problema de seguridad es típico en los sistemas operativos con código heredado. Windows 11 es diferente de Windows 10 solo estéticamente, ya que el código fuente es el mismo. Luego, la vulnerabilidad pasa de una versión a otra. Microsoft confirma que el error está presente comenzando con Windows 10 1809. El investigador Jonas Lykkegaard encontró el archivo de EE. UU. accesible para que el grupo de USUARIOS lo lea que tiene privilegios bajos.

El archivo de EE. UU. Es una base de datos que contiene contraseña hash de todos los usuarios (ubicado en el C:Windowssystem32config). Entonces, un atacante podría obtener la contraseña de administrador, obtener mayores privilegios y realizar cualquier tipo de operación, cómo instalar programas y eliminar datos.

Como cualquier archivo del sistema, US no se puede abrir cuando está actualmente en uso (se muestra un error de inicio de sesión). Pero esto se puede lograr fácilmente si el copia sombra del servicio, como reveló Benjamin Delpy, autor de la famosa herramienta Mimikatz:

No está claro por qué Microsoft cambió los permisos de acceso. La vulnerabilidad, ilustrada por CVE-2021-36934, se solucionará en un parche futuro. Por el momento solo uno está disponible solución temporal, es decir, restringe el acceso a todos los archivos de la carpeta C:Windowssystem32config. El tipo de comando es el símbolo del sistema con derechos de administrador:

icacls %windir%system32config*.* /inheritance:e

También debe eliminar todos los puntos de recuperación y copias de seguridad con este comando:

vssadmin delete shadows /for=c: /Quiet