פגיעות שהתגלתה לאחרונה ב-Windows 10 מאפשרת לכל משתמש לגשת לאישורי המשתמש המאוחסנים במנהל חשבון האבטחה.
פגיעות חדשה התגלתה ב-Windows 10 המאפשרת לכל אחד לקבל הרשאות מנהל. הפגיעות נובעת מבעיה בהרשאות גישה לקבצים עבור חלק מהקבצים המשויכים לרישום של Windows. באופן ספציפי, חוקרי אבטחה הראו כי לכל אחד אפשר לגשת לנתונים המאוחסנים בקובץ Security Account Manager (SAM) ב-Windows 10.
קובץ ה-SAM מאחסן אישורי משתמש עבור המשתמשים במחשב, כך שמטבע הדברים, זה צריך להיות מחוץ לתחום. עם זאת, כפי שציין חוקר האבטחה Jonas Lykkeggard (via BleepingComputer), למעשה כל אחד יכול לגשת לקובץ SAM. ייתכן שבדרך כלל לא תבחין בכך מכיוון שהקובץ נמצא בשימוש מתמיד על ידי Windows, מה שהופך אותו לבלתי נגיש למשתמשים. אבל הפגיעות הללו ב-Windows 10 פותחת פחית שלמה של תולעים.
Windows מגבה קבצים אלה בעת יצירת עותקי צל של כונן, וקבצים מגובים אלה אינם בשימוש. מכיוון שעדיין יש להם את אותן הרשאות, כל משתמש במחשב יכול לגשת לקובץ SAM מגובה ולראות את אישורי הכניסה של משתמשים אחרים. זה כולל מנהלי מערכת, כך שתוכל להיכנס בקלות לחשבון שיש לו הרשאות מנהל. אתה יכול לראות דוגמה של משתמש שמוצא סיסמת NTLM hashed באמצעות פיקוח הרשאה זה בסרטון למטה. לאחר מכן המשתמש יכול לשנות את הסיסמה ולהשתמש בסיסמה החדשה כדי לבצע כל משימות הדורשות הרשאות מנהל.
פגיעות זו הוצגה ככל הנראה עם Windows 10 גרסה 1809, כאשר מיקרוסופט שינתה את ההרשאות בקובצי הרישום. למרות שפגיעות זו עדיין קיימת ב-Windows 10 גרסה 20H2, נראה שזה המצב רק אם שדרגת לגרסה זו. לפי אנליסט האבטחה וויל דורמן, אם תתקין את Windows 10 גרסה 20H2 נקייה, הפגיעות אינה קיימת.
זה אכן הופך את הפגיעות הזו למעט מוגבלת בהיקפה. תצטרך ליצור עותק צל של הכונן שלך בעבר כדי שיהיה לך קובץ SAM נגיש, ולא הרבה אנשים עושים זאת. אתה גם צריך להחזיק את המחשב שלך במשך זמן מה ללא התקנה נקייה. בלי קשר, מדובר בהשגחה גדולה שעלולה לגרום לבעיות חמורות. אני מקווה שמיקרוסופט תנפיק בקרוב תיקון שיחול על מכונות קיימות. רק לאחרונה התגלתה פגיעות בשירות Print Spooler בווינדוס, השני בעוד כחודש.