Mitigación para CVE-2021-36934: Vulnerabilidad de Windows

Tecnología

Mitigación para CVE-2021-36934: Vulnerabilidad de Windows

Ante vulnerabilidad detectada en Windows y varias consultas que surgieron, recomendamos una mitigación para resguardar la información.

Se ha descubierto un fallo en Windows desde la versión 1809. El fallo se trata de la existencia de permiso de lectura de usuario en el fichero SAM y en los archivos que representan las ramas del registro SYSTEM y SECURITY.

Esto permite que cualquier usuario puede acceder al fichero y obtener los hashes NTLM de las contraseñas lo que puede usarse como técnica de escalación de privilegios.

Es importante tenerlo en cuenta por los siguientes puntos:

- Este fichero no debería ser accesible, solo por Administradores y SYSTEM.

- Aunque las contraseñas estén cifradas, se puede crackear. En los casos donde esto no es posible, se pueden utilizar los hashes en crudo para acceder a diferentes recursos además de utilizar este como contraseña.

- Aunque un usuario no puede acceder al SAM bloqueado si no es administrador, se pueden usar también otras técnicas para eludirlo y aprovechar ese erróneo permiso de escritura.

Microsoft ha reconocido el fallo con el CVE-2021-36934, y publicado una mitigación.

La solución sería eliminar el permiso desde CMD (ejecutando como administrador). El símbolo del sistema: icacls %windir%\system32\config*.* /inheritance:e

Para minimizar al máximo los riesgos, desde Fibase recomendamos la ejecución de un ciclo de Auditoria/Remediación con el objetivo de visualizar y reparar de forma constante las fallas que puedan afectar su infraestructura IT. Para más información ¡Contáctanos!

Fuente: https://bit.ly/3hWTr0v

Richard Perez
Richard Perez

IT Manager & Cibersecurity Specialist UY