A Microsoft divulgou na manhã desta quarta-feira (21) uma solução alternativa temporária para uma vulnerabilidade de elevação de privilégio que foi apelidada de HiveNightmare. O Hive é um grupo lógico de chaves, subchaves e valores no Registro. Segundo a empresa, o bug torna as listas de controle de acesso (ACLs) “excessivamente permissivas em vários arquivos de sistema”, fazendo com que qualquer usuário do PC tenha acesso às informações administrativas do sistema.
A falha foi descoberta recentemente pelo usuário do Twitter “Jonas L”, que percebeu que o banco de dados do gerenciador de contas de segurança do Windows (SAM), onde ficam todas as senhas e chaves importantes, estava aberta a não administradores. Por isso, a vulnerabilidade também está sendo chamada de SeriousSAM, pois dá acesso aos arquivos de hive SAM, SYSTEM e SECURITY.
No Microsoft Security Response Center (MSRC), os analistas explicam que, explorando essa vulnerabilidade de segurança, um hacker poderia teoricamente executar um código arbitrário com privilégios SYSTEM. Isso “abriria as portas” para a instalação de programas, visualização, alteração, exclusão de dados e até mesmo criação de novas contas com direitos totais.
yarh- for some reason on win11 the SAM file now is READ for users.
— Jonas L (@jonasLyk) July 19, 2021
So if you have shadowvolumes enabled you can read the sam file like this:
I dont know the full extent of the issue yet, but its too many to not be a problem I think. pic.twitter.com/kl8gQ1FjFt
Como solucionar o problema do HiveNightmare?
A Microsoft reconheceu a falha como uma Vulnerabilidade e Exposição Comum (CVE na sigla em inglês), atribuindo-lhe o código 2021-36934. Até que seja feita uma correção definitiva, a solução adotada foi um workaround (gambiarra) para adoção imediata.
O procedimento alternativo é o seguinte:
- Restringir o acesso ao conteúdo de% windir% \ system32 \ config
- Abra o Prompt de Comando ou Windows PowerShell como administrador.
- Execute este comando: icacls% windir% \ system32 \ config \ *. * / Inheritance:
- Excluir cópias de sombra do Volume Shadow Copy Service (VSS)
- Exclua todos os pontos de restauração do sistema e volumes de sombra que existiam antes de restringir o acesso a% windir% \ system32 \ config
- Crie um novo ponto de restauração do sistema (se necessário).
A vulnerabilidade ocorre na maioria dos computadores com unidades de sistema operacional maiores que 128 GB, que geram cópias de sombra do VSS (interface do sistema). Para deletar essas sombras VSS, a Microsoft divulgou um comando em sua página oficial neste link.
Fontes
Categorias
