0day di privilege escalation su Windows facilmente sfruttabile.

Redazione RHC : 21 Luglio 2021 19:13

Come si dice: “è sempre domenica con i bug di sicurezza”.

E se ieri era il turno di Linux, vuoi che oggi non è quello di Windows?

Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?  Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Infatti il ricercatore @jonasLyk, ha scoperto una vulnerabilità facilmente sfruttabile monitorata con la CVE-2021-36934 in Windows 10 che potrebbe consentire agli utenti locali non amministrativi di ottenere privilegi a livello amministrativo.

“Esiste una vulnerabilità di elevazione dei privilegi a causa di elenchi di controllo di accesso (ACL) eccessivamente permissivi su più file di sistema, incluso il database Security Accounts Manager (SAM). Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe eseguire codice arbitrario con privilegi SYSTEM. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi. Un utente malintenzionato deve avere la capacità di eseguire codice su un sistema vittima per sfruttare questa vulnerabilità”

ha confermato Microsoft, anche se sta ancora indagando su quali versioni di Windows sono interessate, lavorando ad una soluzione.

Al momento, l’azienda ha consigliato due soluzioni temporanee, che includono la limitazione dell’accesso ai contenuti di %windir%\system32\config e l’eliminazione delle copie shadow del Volume Shadow Copy Service (VSS). Il CERT/CC ha fornito utili istruzioni su come farlo.

La vulnerabilità deriva dal fatto che gli utenti non amministrativi possono leggere il SAM (Security Account Manager) dell’host vulnerabile.

Come notato dal ricercatore Benjamin Delpy e Will Dorman del CERT/CC, questi file possono contenere password con hash per gli account utente, la password di installazione di Windows originale, chiavi del computer DPAPI (che possono essere utilizzate per decrittografare tutte le chiavi private del computer) e altro ancora.

E’ importante dire che la CVE-2021-36934 è sfruttabile solo se è disponibile una copia shadow VSS dell’unità di sistema.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli