En nyligen upptäckt sårbarhet i Windows 10 tillåter alla användare att komma åt användaruppgifterna som lagras i Security Account Manager.
En ny sårbarhet har upptäckts i Windows 10 som gör att alla kan få administratörsbehörighet. Sårbarheten beror på ett problem med filåtkomstbehörigheter för vissa filer som är associerade med Windows-registret. Specifikt har säkerhetsforskare visat att det är möjligt för vem som helst att komma åt data som lagras i filen Security Account Manager (SAM) i Windows 10.
SAM-filen lagrar användaruppgifter för användarna på en dator, så naturligtvis bör det vara förbjudet. Men som påpekats av säkerhetsforskaren Jonas Lykkeggard (via Bleeping Computer), kan SAM-filen faktiskt nås av vem som helst. Du kanske vanligtvis inte märker det eftersom filen ständigt används av Windows, vilket gör den otillgänglig för användare. Men denna sårbarhet i Windows 10 öppnar en hel burk med maskar.
Windows säkerhetskopierar dessa filer när du skapar skuggkopior av en enhet, och dessa säkerhetskopierade filer används inte. Eftersom de fortfarande har samma behörigheter kan alla användare på datorn komma åt en säkerhetskopierad SAM-fil och se inloggningsuppgifterna för andra användare. Det inkluderar administratörer, så att du enkelt kan logga in på ett konto som har administratörsbehörighet. Du kan se ett exempel på en användare som hittar ett hashat NTLM-lösenord med hjälp av denna behörighetsöversyn i videon nedan. Användaren kan sedan ändra lösenordet och använda det nya lösenordet för att utföra alla uppgifter som kräver administratörsbehörighet.
Denna sårbarhet introducerades tydligen med Windows 10 version 1809, när Microsoft ändrade behörigheterna för registerfiler. Även om denna sårbarhet fortfarande finns i Windows 10 version 20H2, verkar det som om det bara är fallet om du har uppgraderat till den här versionen. Enligt säkerhetsanalytikern Will Dormann, om du reninstallerar Windows 10 version 20H2, är sårbarheten inte närvarande.
Det gör denna sårbarhet något begränsad i omfattning. Du måste ha skapat en skuggkopia av din enhet tidigare så att du har en tillgänglig SAM-fil, och det är inte många som gör det. Du måste också ha haft din dator en tid utan en ren installation. Oavsett vilket är det en stor förbiseende som kan orsaka allvarliga problem. Förhoppningsvis kommer Microsoft att utfärda en fix som gäller befintliga maskiner någon gång snart. Nyligen upptäcktes en sårbarhet i Print Spooler-tjänsten i Windows, den andra om ungefär en månad.