Se ha descubierto un nuevo Escalamiento de Privilegios Locales (LPE) en Windows 10/11. La vulnerabilidad, denominada HiveNightmware, también conocida como SeriousSAM, es el resultado de un conjunto de ACL «incorrecto» en los archivos del subárbol del registro en la carpeta C:\Windows\System32\Config. Esto permite que los usuarios habituales tengan acceso de lectura a SAM, SYSTEM, SECURITY y otros archivos críticos.

¿Es grave? Sí, porque: Este archivo no debería ser accesible, solo por administradores y SYSTEM.

• Aunque las contraseñas estén cifradas, se puede crackear. Y si no es así, se pueden utilizar los hashes en crudo para acceder a sitios en red, por ejemplo, además de otras técnicas ya conocidas en las que se pueden utilizar como contraseña. Incluso se podría cambiar la contraseña de administrador conociendo solo el hash.
• Aunque un usuario no puede acceder al SAM bloqueado si no es administrador, se pueden usar también otras técnicas para eludirlo y aprovechar ese erróneo permiso de escritura. La más sencilla es acceder a la copia automática que hace el sistema de Shadow Copies de Windows.
• No solo con la SAM. Con acceso a SYSTEM y SECURITY también se puede tener bastante control sobre el sistema.

Microsoft ha reconocido el fallo con el CVE-2021-36934, y publicado una mitigación en forma de comando que elimina ese permiso que debe ser ejecutado como administrador.

# Elimina el permiso
icacls %windir%\system32\config\*.* /inheritance:e

# Elimina la copia legible en Shadow Copies
vssadmin delete shadows /for=c: /Quiet
sc config vss start= disabled

Luego de cambiar los permisos y eliminar las Shadow Copies, ya no es posible realizar el volcado de la SAM y se puede volver a activar la Shadow Copies si se desea.

El bug fue encontrado mientras se probaba la próxima versión de Windows 11. Lyk y otros investigadores [1, 2, 3, 4] descubrieron que mientras Windows estaba restringiendo el acceso de los usuarios con pocos privilegios a esos archivos de configuración confidenciales, las copias de estos archivos también se guardaban en archivos de respaldo creados por Shadow Volume Copy, una función de Windows que crea instantáneas de archivos de computadora durante las operaciones del sistema de archivos.

Ya se han publicado varios códigos que facilitan la explotación y videos explicativos.

Fuente: https://blog.segu-info.com.ar/2021/07/nueva-vulnerabilidad-de-elevacion-de.html