Jonas Lyk, uno specialista di sicurezza informatica, ha segnalato la scoperta di una vulnerabilità critica nei sistemi Windows 10 il cui sfruttamento consentirebbe agli autori delle minacce di ottenere privilegi elevati e persino di rubare le password degli utenti. L’esperto afferma che la vulnerabilità risiede nella firma in cui il sistema operativo concede l’accesso ai suoi file di configurazione.
La falla è stata soprannominata “SeriousSAM” , in riferimento alla firma in cui Windows 10 controlla l’accesso a cartelle come SAM, SECURITY e SYSTEM. Queste sono cartelle importanti sul sistema, poiché contengono informazioni come password con hash per tutti gli account utente sul sistema, nonché impostazioni di sicurezza, chiavi di crittografia e altri dettagli sensibili.
Gli hacker dannosi con accesso a questi file potrebbero estrarre informazioni sensibili per accedere a password e altri dettagli per scopi dannosi. Date le informazioni memorizzate in queste directory, solo un account amministratore di Windows potrebbe interagire con questi file.
Il ricercatore ha scoperto la vulnerabilità durante l’analisi di una versione di prova di Windows 11. Nel suo rapporto, Lyk afferma che mentre Windows limita l’accesso ai file di configurazione sensibili solo agli utenti con privilegi elevati, copie di questi file vengono salvate anche nei file di backup a causa del lavoro di Shadow Volume Copy, una funzionalità di sistema che crea i registri dei file.
Gli attori persistenti delle minacce sui sistemi interessati potrebbero abusare di questo difetto per ottenere il pieno controllo sulle ultime versioni di Windows, rilasciate negli ultimi tre anni. Il rischio principale è il potenziale accesso al file di configurazione di Security Account Manager (SAM) , poiché questa azione consentirà agli hacker di rubare password con hash e dirottare account vulnerabili.
Va notato che anche altri file di configurazione archiviati in cartelle vulnerabili potrebbero generare informazioni soggette a tentativi di attacco informatico, comprese le chiavi di crittografia DPAPI e i dettagli dell’account amministratore.
Nel suo avviso di sicurezza, Microsoft riconosce la presenza della vulnerabilità, che ha ricevuto la chiave di tracciamento CVE-2021-36934. L’azienda consiglia inoltre di rimuovere dal sistema operativo tutti i backup impostati da Shadow Volume per mitigare il rischio di sfruttamento.
