Kerentanan yang baru ditemukan di Windows 10 memungkinkan pengguna mana pun mengakses kredensial pengguna yang disimpan di Manajer Akun Keamanan.
Kerentanan baru telah ditemukan di Windows 10 yang memungkinkan siapa pun mendapatkan hak administrator. Kerentanan ini disebabkan oleh masalah izin akses file untuk beberapa file yang terkait dengan registri Windows. Secara khusus, peneliti keamanan telah menunjukkan bahwa siapa pun dapat mengakses data yang disimpan dalam file Security Account Manager (SAM) di Windows 10.
File SAM menyimpan kredensial pengguna untuk pengguna di komputer, jadi tentu saja, itu harusnya terlarang. Namun, seperti dicatat oleh peneliti keamanan Jonas Lykkeggard (via BleepingComputer), file SAM sebenarnya bisa diakses oleh siapa saja. Biasanya Anda mungkin tidak menyadarinya karena file tersebut terus-menerus digunakan oleh Windows, sehingga tidak dapat diakses oleh pengguna. Namun kerentanan di Windows 10 ini membuka banyak worm.
Windows mencadangkan file-file ini saat membuat Shadow Copies dari drive, dan file-file yang dicadangkan ini tidak digunakan. Karena mereka masih memiliki izin yang sama, setiap pengguna di komputer dapat mengakses file SAM yang didukung dan melihat kredensial login untuk pengguna lain. Itu termasuk administrator, sehingga Anda dapat dengan mudah masuk ke akun yang memiliki hak administrator. Anda dapat melihat contoh pengguna yang menemukan kata sandi NTLM yang di-hash menggunakan pengawasan izin ini dalam video di bawah. Pengguna kemudian dapat mengubah kata sandi dan menggunakan kata sandi baru untuk melakukan tugas apa pun yang memerlukan hak administrator.
Kerentanan ini tampaknya muncul pada Windows 10 versi 1809, ketika Microsoft mengubah izin pada file registri. Meskipun kerentanan ini masih ada di Windows 10 versi 20H2, sepertinya hal tersebut hanya terjadi jika Anda telah meningkatkan ke versi ini. Menurut analis keamanan Will Dormann, jika Anda melakukan instalasi bersih Windows 10 versi 20H2, kerentanannya tidak ada.
Hal ini membuat cakupan kerentanan ini agak terbatas. Anda harus sudah membuat Shadow Copy dari drive Anda sebelumnya sehingga Anda memiliki file SAM yang dapat diakses, dan tidak banyak orang yang memilikinya. Anda juga harus memiliki PC selama beberapa waktu tanpa instalasi yang bersih. Bagaimanapun juga, ini adalah kekeliruan besar yang dapat menyebabkan masalah serius. Mudah-mudahan, Microsoft akan segera mengeluarkan perbaikan yang berlaku untuk mesin yang ada. Baru-baru ini, kerentanan ditemukan dalam layanan Print Spooler di Windows, yang kedua dalam waktu sekitar satu bulan.