Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 21 Luglio 2021 19:13
Come si dice: “è sempre domenica con i bug di sicurezza”.
E se ieri era il turno di Linux, vuoi che oggi non è quello di Windows?
Infatti il ricercatore @jonasLyk, ha scoperto una vulnerabilità facilmente sfruttabile monitorata con la CVE-2021-36934 in Windows 10 che potrebbe consentire agli utenti locali non amministrativi di ottenere privilegi a livello amministrativo.
“Esiste una vulnerabilità di elevazione dei privilegi a causa di elenchi di controllo di accesso (ACL) eccessivamente permissivi su più file di sistema, incluso il database Security Accounts Manager (SAM). Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe eseguire codice arbitrario con privilegi SYSTEM. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi. Un utente malintenzionato deve avere la capacità di eseguire codice su un sistema vittima per sfruttare questa vulnerabilità”
ha confermato Microsoft, anche se sta ancora indagando su quali versioni di Windows sono interessate, lavorando ad una soluzione.
Al momento, l’azienda ha consigliato due soluzioni temporanee, che includono la limitazione dell’accesso ai contenuti di %windir%\system32\config e l’eliminazione delle copie shadow del Volume Shadow Copy Service (VSS). Il CERT/CC ha fornito utili istruzioni su come farlo.
La vulnerabilità deriva dal fatto che gli utenti non amministrativi possono leggere il SAM (Security Account Manager) dell’host vulnerabile.
Come notato dal ricercatore Benjamin Delpy e Will Dorman del CERT/CC, questi file possono contenere password con hash per gli account utente, la password di installazione di Windows originale, chiavi del computer DPAPI (che possono essere utilizzate per decrittografare tutte le chiavi private del computer) e altro ancora.
E’ importante dire che la CVE-2021-36934 è sfruttabile solo se è disponibile una copia shadow VSS dell’unità di sistema.
RedazioneLa saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
