Bug do Windows 10 dá privilégios administrativos para qualquer um

A Microsoft divulgou na manhã desta quarta-feira (21) uma solução alternativa temporária para uma vulnerabilidade de elevação de privilégio que foi apelidada de HiveNightmare. O Hive é um grupo lógico de chaves, subchaves e valores no Registro. Segundo a empresa, o bug torna as listas de controle de acesso (ACLs) “excessivamente permissivas em vários arquivos de sistema”, fazendo com que qualquer usuário do PC tenha acesso às informações administrativas do sistema.

A falha foi descoberta recentemente pelo usuário do Twitter “Jonas L”, que percebeu que o banco de dados do gerenciador de contas de segurança do Windows (SAM), onde ficam todas as senhas e chaves importantes, estava aberta a não administradores. Por isso, a vulnerabilidade também está sendo chamada de SeriousSAM, pois dá acesso aos arquivos de hive SAM, SYSTEM e SECURITY.

No Microsoft Security Response Center (MSRC), os analistas explicam que, explorando essa vulnerabilidade de segurança, um hacker poderia teoricamente executar um código arbitrário com privilégios SYSTEM. Isso “abriria as portas” para a instalação de programas, visualização, alteração, exclusão de dados e até mesmo criação de novas contas com direitos totais.

yarh- for some reason on win11 the SAM file now is READ for users.
So if you have shadowvolumes enabled you can read the sam file like this:

I dont know the full extent of the issue yet, but its too many to not be a problem I think. pic.twitter.com/kl8gQ1FjFt

— Jonas L (@jonasLyk) July 19, 2021

Como solucionar o problema do HiveNightmare?

A Microsoft reconheceu a falha como uma Vulnerabilidade e Exposição Comum (CVE na sigla em inglês), atribuindo-lhe o código 2021-36934. Até que seja feita uma correção definitiva, a solução adotada foi um workaround (gambiarra) para adoção imediata.

O procedimento alternativo é o seguinte:

• Restringir o acesso ao conteúdo de% windir% \ system32 \ config

              - Abra o Prompt de Comando ou Windows PowerShell como administrador.

              - Execute este comando: icacls% windir% \ system32 \ config \ *. * / Inheritance:

• Excluir cópias de sombra do Volume Shadow Copy Service (VSS)

             - Exclua todos os pontos de restauração do sistema e volumes de sombra que existiam antes de restringir o acesso a% windir% \ system32 \ config

              - Crie um novo ponto de restauração do sistema (se necessário). 

A vulnerabilidade ocorre na maioria dos computadores com unidades de sistema operacional maiores que 128 GB, que geram cópias de sombra do VSS (interface do sistema). Para deletar essas sombras VSS, a Microsoft divulgou um comando em sua página oficial neste link.