Windows 10 ve Windows 11, düşük imtiyazlara sahip kullanıcıların hassas kayıt defteri veritabanı dosyalarına erişebileceğini keşfettikten sonra, yerel bir ayrıcalık yükselmesi için savunmasızdır.
Windows kayıt defteri, Windows işletim sistemi için yapılandırma deposu olarak işlev görür ve hasetlenmiş şifreler, kullanıcı özelleştirmeleri, uygulamalar için yapılandırma seçenekleri, sistem şifre çözme tuşları ve daha fazlası içerir.
Windows kayıt defterine bağlı veritabanı dosyaları C: \ Windows \ System32 \ Config klasörü altında saklanır ve sistem, güvenlik, SAM, varsayılan ve yazılım gibi farklı dosyalara ayrılır.
Bu dosyalar, Windows özellikleri tarafından kullanılan bir cihazdaki tüm kullanıcı hesapları ve güvenlik belirteçleri hakkında hassas bilgiler içerdiğinden, yükseltilmiş ayrıcalıkları olmayan normal kullanıcılar tarafından görüntülenmekten sınırlandırılmalıdır.
Bu, özellikle bir sistemdeki tüm kullanıcılar için haseted şifreleri içerdiği için güvenlik hesap yöneticisi (SAM) dosyası için geçerlidir, hangi tehdit aktörlerinin kimliklerini üstlenmesi için kullanabileceği.
Dün, güvenlik araştırmacısı Jonas Lykkegaard, BleepingComputer'a, Windows 10 ve Windows 11 kayıt defteri dosyalarının güvenlik hesap yöneticisi (SAM) ve diğer tüm kayıt defteri veritabanlarıyla ilişkilendirilmiş, bir cihazda düşük ayrıcalıklara sahip 'Kullanıcılar' grubuna erişilebilir olduğunu keşfetti. .
Bu düşük izinler, aşağıda gösterildiği gibi tamamen yamalı bir Windows 10 20H2 cihazında BleepingComputer tarafından onaylandı.
Bu düşük dosya izinleriyle, bir cihazdaki sınırlı ayrıcalıklara sahip bir tehdit aktörünün, bir cihazdaki tüm hesaplar için NTLM Hashed şifrelerini çıkarabilir ve yükseltilmiş ayrıcalıkları elde etmek için karma saldırılarındaki kareleri kullanın.
SAM dosyası gibi kayıt defteri dosyaları her zaman işletim sistemi tarafından kullanıldığında, dosyaya erişmeye çalıştığınızda, dosyaların açık ve kilitli olduğu için bir erişim ihlali alırsınız.
Bununla birlikte, SAM de dahil olmak üzere kayıt defteri dosyaları genellikle Windows Gölge Hacmi Kopyaları tarafından yedeklenirken, Lykkegaard, erişim ihlali olmadan dosyalara gölge hacimlerinden erişebileceğinizi söylüyor.
Örneğin, tehdit aktörleri, bilgisayardaki herhangi bir kullanıcı tarafından Sam dosyasına erişmek için aşağıdaki Win32 cihaz ad alanı yolunu kullanabilir.
Bu düşük ve yanlış dosya izinlerini kullanarak, Dosyaların Gölge Hacmi Kopyalarının yanı sıra, Güvenlik Araştırması ve Mimikatz Creator Benjamin Delpy, BleepingComputer'a daha yüksek ayrıcalıklar elde etmek için yüksek bir hesabın NTLM'si parolasını kolayca çalabileceğini söyledi.
Bu saldırı, aşağıdaki videoda deliler tarafından oluşturulur ve hata ayıklama ayrıcalıklarını kazanmak için bir NTLM hash kullanarak Mimikatz'u gösteren BleepingComputer ile paylaşılır.
NTLM Hashes ve Yükseltme ayrıcalıklarını çalmaya ek olarak, Delpy, BleepingComputer'a, bu düşük ayrıcalıklı erişimin, gümüş bilet atakları gibi daha fazla saldırıya izin verebileceğini söyledi.
Microsoft'un, normal kullanıcıların dosyaları okumalarına izin vermek için kayıt defterindeki izinleri değiştirme nedeni belirsizdir.
Bununla birlikte, CERT / CC ve SANS Yazar Jeff McJunkin'in güvenlik açığı analisti olan Dormann, Microsoft, Windows 10 1809'daki izin değişikliklerini tanıttığını söyledi.
Garip bir şekilde Dormann, Haziran ayından itibaren Windows 10 20H2'nin yeni bir versiyonunu yüklerken, gevşek izinler mevcut değildi.
Bu nedenle, Microsoft, temiz bir şekilde gerçekleştirirken, Microsoft izin sorunu çözülürse açık değildir. Windows'un kurulumu ancak yeni sürümlere yükseltme yaparken düzeltmedi.
Bugün piyasaya sürülen bir güvenlik danışmanlığında, Microsoft güvenlik açığını doğruladı ve şimdi CVE-2021-36934 olarak takip etti.
Microsoft, "Müşterilerin korunmasını sağlamak için gerekli olduğu gibi araştırıyoruz ve uygun bir işlemi alacağız" dedi.
Danışmanlıkta, Microsoft, C: \ Windows \ System32 \ Config klasöründeki izinleri kısıtlayan paylaşımlı azaltmalar yaptı.
Güncelleme 7/20/21 7:15 PM EST: Microsoft'un ifadesini ve danışmanlığın bağlantısını ekledi.
Windows 10'da Yazdırma Biriktirici Güvenlik Açığı Nasıl Alaşılır?
Windows 11, klasik Windows 10 Başlat menüsünü etkinleştirmenizi sağlar, işte nasıl?
Microsoft Haziran 2021 Yama Salı Düzeltmeler 6 Kullanıcı sıfır gün, 50 kusur
Yazıcı yazılımında 16 yaşındaki böcek, bilgisayar korsanları yönetici haklarını verir
Windows 11 özellikleri, beklenen sürüm tarihi ve son haberler
Kaynak: Bleeping Computer