Windows 10 haavatavus võimaldab kõigil saada administraatoriõigused

Äsja avastatud haavatavus Windows 10-s võimaldab igal kasutajal pääseda juurde turvakontohaldurisse salvestatud kasutajamandaatidele.

Windows 10-s avastati uus haavatavus, mis võimaldab kõigil saada administraatoriõigusi. Haavatavuse põhjuseks on mõnede Windowsi registriga seotud failide juurdepääsulubade probleem. Täpsemalt on turbeuurijad näidanud, et kõigil on võimalik pääseda juurde Windows 10-s Security Account Manageri (SAM) faili salvestatud andmetele.

SAM-fail salvestab arvutis olevate kasutajate mandaadid, seega peaks see loomulikult olema keelatud. Kuid nagu märkis turvateadlane Jonas Lykkeggard (via BleepingComputer), pääseb SAM-failile tegelikult juurde igaüks. Tavaliselt ei pruugi te seda märgata, kuna Windows kasutab faili pidevalt, mis muudab selle kasutajatele kättesaamatuks. Kuid see haavatavus Windows 10-s avab terve hulga usse.

Windows varundab need failid draivi varjukoopiate loomisel ja neid varundatud faile ei kasutata. Kuna neil on endiselt samad õigused, pääseb iga arvuti kasutaja juurde tagatud SAM-failile ja näeb teiste kasutajate sisselogimismandaate. See hõlmab administraatoreid, nii et saate hõlpsasti sisse logida kontole, millel on administraatoriõigused. Allolevas videos näete näidet, kuidas kasutaja leiab räsitud NTLM-i parooli, kasutades seda loa järelevalvet. Seejärel saab kasutaja muuta parooli ja kasutada uut parooli mis tahes toimingute tegemiseks, mis nõuavad administraatori õigusi.

See haavatavus võeti ilmselt kasutusele Windows 10 versiooniga 1809, kui Microsoft muutis registrifailide õigusi. Kuigi see haavatavus on Windows 10 versioonis 20H2 endiselt olemas, tundub, et see kehtib ainult siis, kui olete sellele versioonile üle läinud. Turvaanalüütiku Will Dormanni sõnul ei ole haavatavust Windows 10 versiooni 20H2 puhta installimise korral.

See muudab selle haavatavuse ulatuse mõnevõrra piiratud. Peate olema varem oma draivist varjukoopia loonud, et teil oleks juurdepääsetav SAM-fail ja seda ei tee paljud inimesed. Samuti peab teil olema arvuti juba mõnda aega ilma puhta installita. Sellest hoolimata on see suur möödalaskmine, mis võib põhjustada tõsiseid probleeme. Loodetavasti annab Microsoft peagi välja paranduse, mis kehtib olemasolevatele masinatele. Just hiljuti avastati haavatavus teenuses Print Spooler Windowsis, teine umbes kuu aja pärast.