Door een nieuw ontdekte kwetsbaarheid in Windows 10 heeft elke gebruiker toegang tot de gebruikersgegevens die zijn opgeslagen in Security Account Manager.
Er is een nieuwe kwetsbaarheid ontdekt in Windows 10 waardoor iedereen beheerdersrechten kan krijgen. Het beveiligingslek is te wijten aan een probleem met de bestandstoegangsrechten voor sommige bestanden die aan het Windows-register zijn gekoppeld. Beveiligingsonderzoekers hebben met name aangetoond dat het voor iedereen mogelijk is om toegang te krijgen tot de gegevens die zijn opgeslagen in het Security Account Manager-bestand (SAM) in Windows 10.
Het SAM-bestand slaat gebruikersgegevens op voor de gebruikers op een computer, dus dit zou uiteraard verboden terrein moeten zijn. Echter, zoals opgemerkt door beveiligingsonderzoeker Jonas Lykkeggard (via BleepingComputer), is het SAM-bestand eigenlijk voor iedereen toegankelijk. Normaal gesproken merkt u dit misschien niet, omdat het bestand voortdurend door Windows wordt gebruikt, waardoor het niet toegankelijk is voor gebruikers. Maar deze kwetsbaarheid in Windows 10 opent een hele reeks wormen.
Windows maakt een back-up van deze bestanden bij het maken van schaduwkopieën van een schijf, en deze back-upbestanden worden niet gebruikt. Omdat ze nog steeds dezelfde machtigingen hebben, heeft elke gebruiker op de computer toegang tot een ondersteund SAM-bestand en kan de inloggegevens van andere gebruikers worden bekeken. Dat geldt ook voor beheerders, zodat u eenvoudig kunt inloggen op een account dat beheerdersrechten heeft. In de onderstaande video ziet u een voorbeeld van een gebruiker die een gehasht NTLM-wachtwoord vindt met behulp van dit toestemmingstoezicht. De gebruiker kan vervolgens het wachtwoord wijzigen en het nieuwe wachtwoord gebruiken om taken uit te voeren waarvoor beheerdersrechten vereist zijn.
Deze kwetsbaarheid is blijkbaar geïntroduceerd met Windows 10 versie 1809, toen Microsoft de machtigingen voor registerbestanden veranderde. Hoewel deze kwetsbaarheid nog steeds aanwezig is in Windows 10 versie 20H2, lijkt het erop dat dit alleen het geval is als je een upgrade naar deze versie hebt uitgevoerd. Volgens beveiligingsanalist Will Dormann is de kwetsbaarheid niet aanwezig als je Windows 10 versie 20H2 schoon installeert.
Dat maakt deze kwetsbaarheid enigszins beperkt in omvang. U moet in het verleden een schaduwkopie van uw schijf hebben gemaakt, zodat u een toegankelijk SAM-bestand hebt, en niet veel mensen doen dat. Je moet je pc ook al een tijdje hebben zonder een schone installatie. Hoe dan ook, het is een grote vergissing die ernstige problemen kan veroorzaken. Hopelijk komt Microsoft binnenkort met een oplossing die van toepassing is op bestaande machines. Onlangs werd er een kwetsbaarheid ontdekt in de Print Spooler-service in Windows, de tweede over ongeveer een maand.