El calor de julio no está trayendo buenas noticias para los usuarios de Microsoft Windows 10. Ya hace unos días hablábamos del PrintNightmare, pues bien, parece que ahora estrenamos otro episodio, el llamado “HiveNightmare” o “SeriousSAM”.
El investigador de seguridad Jonas Lykkegaard fue el primero en detectarlo. Por parte de Microsoft, el día 20 de julio se ha confirmado que se trata de una nueva vulnerabilidad crítica que afecta al sistema operativo Windows 10 (CVE-2021-36934).
Concretamente la vulnerabilidad se encuentra en el archivo Security Account Manager (SAM). Un atacante con privilegios de usuario local limitados podría obtener las contraseñas hash y usarlas con relativa facilidad para elevar sus privilegios a administrador. A partir de allí, el atacante puede tener control absoluto para hacer lo que quiera.
¿Qué nos cuenta Microsoft de CVE-2021-36934?
Según Microsoft, un atacante puede «instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con derechos de usuario completos». Todas las versiones de Windows 10 desde 1809 en adelante, son vulnerables a este ataque.
Además, se da la particularidad que la ‘instantánea’ de la unidad del sistema donde se pueden encontrar estos archivos se crea cuando alguien realiza una actualización de Windows si esa unidad tiene más de 128 GB. Por lo tanto, incluso si su versión de Windows 10 no se vio afectada inicialmente, podría serlo después de la actualización.
¿Existe alguna solución?
Lamentablemente, por el momento, todavía no existe ningún parche.
Microsoft ha emitido una solución alternativa para restringir el acceso mediante el símbolo del sistema o PowerShell y luego eliminar los puntos de restauración del sistema existentes. Esa solución se puede encontrar aquí.
Restringir el acceso al contenido de% windir% \ system32 \ config
Símbolo del sistema (ejecutar como administrador): icacls %windir%\system32\config\*.* /inheritance:e
Windows PowerShell (ejecutar como administrador): icacls $env:windir\system32\config\*.* /inheritance:e
Eliminar instantáneas del Servicio de instantáneas de volumen (VSS)
- Elimine los puntos de restauración del sistema y los volúmenes de sombra que existían antes de restringir el acceso a% windir% \ system32 \ config.
- Cree un nuevo punto de restauración del sistema (si lo desea).
Impacto de la solución alternativa: Eliminar las instantáneas podría afectar las operaciones de restauración, incluida la capacidad de restaurar datos con aplicaciones de respaldo de terceros. Para obtener más información sobre cómo eliminar instantáneas, consulte KB5005357- Eliminar instantáneas de volumen.
Nota: Debe restringir el acceso y eliminar instantáneas para evitar la explotación de esta vulnerabilidad.
Des de el SOC de Infordisa estaremos atentos a cualquier novedad.
