Há um falha nova e muito séria nas versões recentes do Windows 10 e Windows 11 que poderia deixar qualquer usuário local sem uma senha administrativa , incluindo malware instalado por outros meios, assume o controle total do PC. Nenhuma correção da Microsoft está disponível ainda.
Esta vulnerabilidade decorre de uma mudança aparente nas versões recentes do Windows 10 que permite que até mesmo usuários sem privilégios possam ler os arquivos do Security Account Manager (SAM), SYSTEM e SECURITY no Registro do Windows, o pesquisador de segurança relatou Jonas Lykkegaard no Twitter ontem (19 de julho).
yarh-por algum motivo no win11 o arquivo SAM agora é LIDO para os usuários. Portanto, se você tiver shadowvolumes habilitado, você pode ler o arquivo sam assim: Eu não sei a extensão total do problema ainda, mas é demais para não ser um problema, eu acho. pic.twitter.com/kl8gQ1FjFt 19 de julho de 2021
Veja mais
Apenas algumas horas atrás hoje (20 de julho), Will Dormann do CERT Coordination Center (CERT-CC) na Carnegie-Mellon University em Pittsburgh emitiu um aviso de segurança sobre esta falha.
Dormann acredita que essa falha foi introduzida com o Windows 10 build 1809, mas em alguns casos, parece que a maneira como você instala ou atualiza o Windows determina se sua máquina está vulnerável.
O que torna as coisas complicadas aqui é agora onde você está, mas como você chegou lá. Por exemplo, instalação do Windows 10 20H2 RTM: VULNERABLE Instalação do Windows 10 20H2 RTM + Windows Update: VULNERABLE20H2 Instalação de novembro-NÃO VULNERÁVEL Você se lembra de qual mídia de instalação usou para obter o Windows 10? pic.twitter.com/fWaxVBdCWh 20 de julho de 2021
Veja mais
Então, o que há com essa falha do Windows?
O arquivo SAM no Registro do Windows contém versões”hash”de todas as senhas de usuário em um determinado sistema Windows, incluindo as senhas de usuários administrativos.
“Fazer hash”de senhas significa executá-las por meio de um algoritmo de criptografia unilateral que não pode (em teoria) ser revertido. Por exemplo, o hash de”senha”, usando o algoritmo NTLM da própria Microsoft, é”8846F7EAEE8FB117AD06BDD830B7586C”.
O problema é que o algoritmo NTLM é muito fraco e os hashes podem frequentemente ser”quebrados”ou invertida para fornecer a senha original.
Pior ainda, algumas funções relacionadas ao Windows, como acessar um servidor em rede, permitem que você efetue login usando o hash NTLM em vez da própria senha. Portanto, não é bom quando qualquer pedaço de software ou qualquer usuário em um sistema Windows pode ver repentinamente os hashes NTLM de todas as senhas de outros usuários.
Não é fácil para nenhum usuário acessar o arquivo SAM enquanto um computador está funcionando. Mas Lykkegaard descobriu que ele, mesmo como um usuário sem privilégios, poderia acessar a versão de backup do arquivo SAM na”cópia de sombra”que a maioria dos sistemas Windows cria.
Uma cópia de sombra é um backup, oculto na unidade principal, dos arquivos mais importantes de um sistema Windows. Seu PC cria uma cópia de sombra sempre que instala uma atualização ou atualização do sistema. Para a maioria dos PCs, isso significa uma nova cópia de sombra a cada mês.
Uma cópia de sombra nem sempre é oculta. Mesmo se estiver usando um nome de arquivo exclusivo, é um nome de arquivo previsível em um local previsível.
Portanto, malware engenhoso que entrou em um PC através de um e-mail de phishing, software pirata ou um link da web malicioso seria capaz de localizar o arquivo SAM na cópia de sombra, ler os hashes de senha do usuário e provavelmente ter um chance justa de quebrar os hashes ou usá-los para fazer logon em servidores remotos.
Mesmo o o melhor software antivírus do Windows 10 pode não ser capaz de impedir todos esses ataques.
Como verificar se o seu PC está vulnerável
Você pode ver se o seu PC está vulnerável a essa falha verificando duas coisas.
Primeiro, abra o prompt de comando do Windows (digite”cmd”na barra de pesquisa na parte inferior da tela), digite isso e pressione Enter:
icacls c: \ windows \ system32 \ config \ sam
Se você obtiver uma resposta que inclua esta linha:
BUILTIN \ Usuários: (I) (RX)
… então isso significa que usuários sem privilégios podem ler o arquivo SAM e seu sistema pode ser vulnerável.
Se sim, você vai querer verificar se existem cópias de sombra. Para isso, você precisará usar o prompt de comando como administrador.
Se você ainda não for um administrador, digite”cmd”na barra de pesquisa novamente e clique com o botão direito em”Prompt de comando”e selecione”Executar como administrador”e digite sua senha do Windows ou PIN do PC quando solicitado.
Depois que a janela do prompt de comando estiver aberta, digite e pressione Enter:
vssadmin list sombras
Você pode obter um relatório completo parecido com este. Se sim, então você tem cópias de sombra:
Conteúdo do conjunto de cópias de sombra ID: {d9e0503a-bafa-4255-bfc5-b781cb27737e} Continha 1 cópia de sombra no momento da criação: 19/07/2021 9:30:13 AM ID de cópia de sombra: {5b5d02a8-44e9-420e-9ec9-a585cd991ed8} Volume original: (C:) \\? \ Volume {b7f4115b-4242-4e13-84c0-869524965718} \ Volume de cópia de sombra: \\? \ GLOBALROOT \ Device \ \ HarddiskVolumeShadowCopy2 Máquina de origem: DESKTOP-CHOLLIMA Máquina de serviço: DESKTOP-CHOLLIMA Provedor:’Microsoft Software Shadow Copy provider 1.0’Tipo: ClientAccessibleWriters Atributos: Persistente, acessível pelo cliente, sem liberação automática, diferencial, recuperado automaticamente
Aqui está o que você pode obter se você não fizer isso:
Nenhum item encontrado que satisfaça a consulta.
Se os usuários regulares puderem ler o arquivo SAM E existirem cópias de sombra, seu sistema Windows estará vulnerável a ataques.
Então, estou vulnerável. E agora?
Dormann do CERT-CC recomenda seguir os seguintes passos para evitar o risco de ataques usando esta falha. Observe que esta solução alternativa excluirá as cópias de sombra existentes, de modo que seu computador ficará temporariamente sem um ponto de restauração.
Abra uma janela de linha de comando administrativa, como acima. (O Windows PowerShell também funcionará.)
Impeça que”Usuários”acessem arquivos confidenciais do Registro digitando os seguintes comandos e pressionando Enter após cada um:
icacls% windir% \ system32 \ config \ sam/remove”Usuários”icacls% windir% \ system32 \ config \ security/remove”Usuários”icacls% windir% \ system32 \ config \ system/remove”Usuários”
Exclua as cópias de sombra existentes em cada unidade. Para a unidade C:, digite na linha de comando e pressione Enter:
vssadmin delete shadow/for=c:/Quiet
Continue em outras unidades que você possa ter, como D:, E: e assim ativado.
Verifique se todas as cópias de sombra foram excluídas digitando novamente e pressionando Enter:
vssadmin list sombras
Você deve obter isso como uma resposta:
Nenhum item encontrados que satisfazem a consulta.
Reinicialize sua máquina.
Crie um novo ponto de restauração digitando”criar”na barra de pesquisa, selecionando”Criar um ponto de restauração”e clicando no botão”Criar”nas janelas pop-up que aparecerem.
As melhores ofertas atuais do Kaspersky Total Security
