En nylig oppdaget sårbarhet i Windows 10 lar enhver bruker få tilgang til brukerlegitimasjonen som er lagret i Security Account Manager.
En ny sårbarhet har blitt oppdaget i Windows 10 som lar alle få administratorrettigheter. Sårbarheten skyldes et problem med filtilgangstillatelser for noen filer knyttet til Windows-registeret. Spesielt har sikkerhetsforskere vist at det er mulig for alle å få tilgang til dataene som er lagret i Security Account Manager-filen (SAM) i Windows 10.
SAM-filen lagrer brukerlegitimasjon for brukerne på en datamaskin, så naturligvis bør den være forbudt. Imidlertid, som bemerket av sikkerhetsforsker Jonas Lykkeggard (via BleepingComputer), SAM-filen kan faktisk nås av alle. Du legger kanskje ikke merke til det fordi filen stadig er i bruk av Windows, noe som gjør den utilgjengelig for brukere. Men disse sårbarhetene i Windows 10 åpner en hel boks med ormer.
Windows sikkerhetskopierer disse filene når du oppretter skyggekopier av en stasjon, og disse sikkerhetskopierte filene er ikke i bruk. Fordi de fortsatt har de samme tillatelsene, kan enhver bruker på datamaskinen få tilgang til en sikkerhetskopiert SAM-fil og se påloggingsinformasjonen for andre brukere. Det inkluderer administratorer, slik at du enkelt kan logge på en konto som har administratorrettigheter. Du kan se et eksempel på en bruker som finner et hashet NTLM-passord ved å bruke denne tillatelsesoversikten i videoen nedenfor. Brukeren kan deretter endre passordet og bruke det nye passordet til å utføre alle oppgaver som krever administratorrettigheter.
Dette sikkerhetsproblemet ble tilsynelatende introdusert med Windows 10 versjon 1809, da Microsoft endret tillatelsene for registerfiler. Selv om dette sikkerhetsproblemet fortsatt er tilstede i Windows 10 versjon 20H2, ser det ut til at det bare er tilfelle hvis du har oppgradert til denne versjonen. Ifølge sikkerhetsanalytiker Will Dormann, hvis du reninstallerer Windows 10 versjon 20H2, er ikke sikkerhetsproblemet tilstede.
Det gjør denne sårbarheten noe begrenset i omfang. Du må ha laget en skyggekopi av stasjonen din tidligere, slik at du har en tilgjengelig SAM-fil, og det er det ikke mange som gjør. Du må også ha hatt PC-en en stund uten en ren installasjon. Uansett er det en stor forglemmelse som kan forårsake alvorlige problemer. Forhåpentligvis vil Microsoft utstede en løsning som gjelder eksisterende maskiner snart. For nylig ble en sårbarhet oppdaget i Print Spooler-tjenesten i Windows, den andre om omtrent en måned.