La información, tendencias y noticias IT de expertos tecnológicos para su empresa

Tu blog de tecnología

  1. Inicio
  2. Blog
  3. Análisis de CVE-2021-36934 (“Serious SAM”)
Análisis de CVE-2021-36934 (“Serious SAM”)

Análisis de CVE-2021-36934 (“Serious SAM”)

Agosto 03, 2021

Jorge Ramírez Gibbs

Comparte en

Usuarios de Microsoft Windows 10 y Windows 11 corren el riesgo de sufrir una nueva vulnerabilidad sin parche de seguridad disponible, apodada Serious SAM o HiveNightmare.

 

La vulnerabilidad, identificada como CVE-2021-36934, se ha hallado en la configuración predeterminada de Windows 10 y Windows 11. Es causada debido a una configuración que concede permisos de lectura para el grupo de usuarios (BUILTIN/Users) que contiene todos los usuarios locales.

 

Este error de configuración permite a los atacantes con pocos privilegios acceder a los archivos del sistema de Windows en %windir%\system32\config. Los atacantes pueden aprovechar esta vulnerabilidad para obtener contraseñas hash almacenadas en el administrador de cuentas de seguridad (SAM) y en el registro.

 

Si existe una copia de seguridad oculta del sistema, un usuario sin privilegios de administrador puede acceder a estos archivos para lograr distintas acciones como:

 

·       Extraer y abusar de hashes de contraseñas.

·       Hallar la contraseña de instalación de Windows original.

·       Obtener llaves DPAPI, que pueden usarse para descifrar todas las llaves privadas.

·       Conducir un ataque silver ticket. [1]

 

Hasta el momento de redacción (29 de julio de 2021) no existe un parche de seguridad que solucione este CVE. Por lo que se recomienda que se sigan las indicaciones que ha dado Microsoft en su comunicado. Conforme se desarrolle su investigación indicarán los pasos a seguir.

 

Prueba de Concepto.

 

Para esta prueba usaremos la PoC creada por el investigador Kevin Beaumont en un equipo con Windows 10. Primero ejecutaremos el exploit sin generar copias de seguridad.

 

Al no tener la opción de protección del sistema habilitada, el exploit no ha podido encontrar copias de seguridad para explotar. Ejecutaremos el comando icacls C:\Windows\system32\config\SAM para determinar si el equipo es vulnerable a la explotación.

 

 

Al obtener la salida BUILTIN\Users:(I)(RX) obtenemos un indicio de que el equipo es vulnerable a este CVE. Sin embargo, al no tener copias de seguridad por leer, el exploit no encontrará archivos SAM que extraer. Generaremos copias de seguridad en el equipo para el siguiente paso.

 

En el panel de control, iremos a la sección Sistema y seguridad > Sistema > Protección del sistema.

 

Seleccionamos el disco de instalación de Windows y luego el botón Configurar. Aquí activaremos la protección del sistema y asignaremos un espacio para las copias de seguridad.

Posteriormente creamos una copia de seguridad.

 

Una vez que tengamos la copia, ejecutaremos el PoC de HiveNightmare. Obtenemos el siguiente resultado.

 

 

El exploit ha encontrado copias de seguridad y los hives correspondientes a SAM, SYSTEM y SECURITY y los ha colocado en la carpeta donde fue ejecutado.

 

Las cadenas hash pueden verse a través de herramientas como secretsdump.py , de impacket. Así como samdump o mimikatz.

 

Ejemplo de extracción de hashes de los archivos SAM, por Heath Adams.

 

Cómo mitigar SeriousSAM o HiveNightmare:

 

Paso 1.- Restringir acceso a los contenidos de %windir%\system32\config, arreglando la falla en las listas de control de acceso. Usando los siguientes comandos:

 

En cmd (como administrador): 

icacls %windir%\\system32\\config\\*.* /inheritance:e

En PowerShell (como administrador): 

icacls $env:windir\\system32\\config\\*.* /inheritance:e

 

Una vez ejecutado el comando, el acceso a los ficheros SAM y SYSTEM queda restringido únicamente a administradores.

 

 

Paso 2.- Borrar copias ocultas de volumen (Volume Shadow Copy Service)

 

1.     Borrar todos los puntos de restauración del sistema creados antes de la restricción de acceso a %windir%\system32\config. Puede borrarse desde el menú de protección del sistema o bien con el siguiente comando:

  

vssadmin delete shadows /for=c: /all.

 

2.     Crear un nuevo punto de restauración de ser necesario.

 

Según las recomendaciones de Microsoft, cuando se haya restringido el acceso a

%windir%\system32\config y se hayan borrado las copias de seguridad, la explotación del CVE no será posible. [2]

 

Nota: Kevin Beaumont ha escrito un script de Powershell que repara las listas de control de acceso (ACL) y elimina las copias de seguridad. También recomienda consultar con proveedores de EDR’s medidas para detectar el acceso a los ficheros SAM. [3]

 

Referencias

 

[1] Carnegie Mellon University, “CERT/CC Vulnerability Note VU#506989,” www.kb.cert.org, Jul.

20, 2021. https://kb.cert.org/vuls/id/506989

 

[2] Microsoft, “Security Update Guide - Microsoft Security Response Center,” msrc.microsoft.com,

Jul. 20, 2021. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934.

 

[3]K. Beaumont, “#HiveNightmare aka #SeriousSAM — anybody can read the registry in Windows 10,” Medium, Jul. 22, 2021. https://doublepulsar.com/hivenightmare-aka-serioussam-anybody-can-read-the-registry-in-windows-10-7a871c465fa5

NUESTRAS SOLUCIONES
¡Conócelas!
 

OCM-IT

Compártenos tu opinión

Si prefieres una atención más personalizada, contáctanos vía telefónica

¡Llama ahora mismo!

Envíanos tu mensaje

© 2024 OCM-IT®

OCM-IT® Seguridad en Virtualización Tecnológica, utiliza cookies propias y de terceros para ofrecerte una mejor experiencia de usuario. Si continuas con la navegación, consideramos que aceptas este uso. Puedes obtener mayor información en nuestro Aviso de Privacidad.