HiveNightmare, il bug in Windows 10 e 11 che espone tutte le password di sistema: i dettagli - Cyber Security 360

L'ANALISI TECNICA

HiveNightmare, il bug in Windows 10 e 11 che espone tutte le password di sistema: i dettagli

Si chiama HiveNightmare (o SeriousSAM) il bug identificato in Windows 10 e nel prossimo Windows 11 che potrebbe consentire ad un utente senza privilegi amministrativi di accedere ai file di registro ed esporre le password di amministrazione dei sistemi vulnerabili. Ecco i dettagli e come mitigare il rischio

21 Lug 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Windows 10 e il nuovo Windows 11 contengono una vulnerabilità locale di tipo Elevation of Privilege (EoP), ribattezzata HiveNightmare o SeriousSAM, che potrebbe esporre le password di amministrazione dei sistemi vulnerabili.

Se sfruttata positivamente, infatti, la vulnerabilità consente a utenti con account limitati di elevare i propri privilegi per ottenere diritti amministrativi sui sistemi vulnerabili, eseguire codice arbitrario con privilegi SYSTEM, installare programmi, visualizzare, modificare o cancellare dati e creare nuovi account con pieni diritti utente.

Ma, soprattutto, potrebbe consentire ad un utente senza diritti amministrativi, di accedere ai file sensibili archiviati nel database del registro di configurazione di sistema.

Microsoft ha condiviso un avviso di sicurezza per questa vulnerabilità zero-day che ha identificato come CVE-2021-36934.

HiveNightmare: password a rischio in Windows 10 e 11

La gravità di questa nuova vulnerabilità risiede proprio nel fatto che un suo eventuale exploiting potrebbe consentire agli utenti appartenenti al gruppo Users l’accesso con privilegi elevati al registro di configurazione di Windows che, come sappiamo, viene utilizzato dal sistema operativo per memorizzare l’hash delle password, le personalizzazioni utente, le opzioni di configurazione per le applicazioni installate nel sistema, le chiavi di decrittazione del sistema e molto altro ancora.

I database associati al registro di configurazione di sistema sono memorizzati nella cartella C:/Windows/system32/config e sono suddivisi in diversi file come SYSTEM, SECURITY, SAM, DEFAULT e SOFTWARE.

Questi file, come dicevamo, contengono informazioni sensibili su tutti gli account utente di un dispositivo, ma anche i token di sicurezza utilizzati dalle funzioni di Windows: per questo motivo, l’accesso dovrebbe essere vietato agli utenti senza privilegi elevati.

Ciò è ancor più vero nel caso del database SAM (Security Account Manager) in quanto contiene gli hash delle password di tutti gli utenti di un sistema: è evidente che se dovessero finire nelle mani degli attori delle minacce, potrebbero essere utilizzati per assumere le identità delle ignare vittime mediante attacchi di tipo pass-the-hash.

Inoltre, sempre a causa della falla di sicurezza HiveNightmare, divulgata dal ricercatore di sicurezza Jonas Lykkegaard e ancora senza una patch ufficiale, “un utente malintenzionato potrebbe quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con diritti utente completi”.

HiveNightmare: soluzioni alternative di mitigazione

Per mitigare il rischio di un exploiting positivo della vulnerabilità HiveNightmare, a poco serve il controllo sulla violazione di accesso dei file di registro come il database SAM che, in quanto sempre in uso da parte del sistema operativo, risultano essere aperti e bloccati da un altro programma.

Tramite le copie shadow di Windows, infatti, un attaccante potrebbe comunque ottenere un accesso indiretto ai database esposti a questa vulnerabilità zero-day e archiviati nella cartella C:/Windows/System32/config.

Per bloccare temporaneamente il potenziale sfruttamento della vulnerabilità HiveNightmare e in attesa che venga rilasciato un fix ufficiale, Microsoft consiglia di limitare l’accesso alla cartella vulnerabile e di eliminare le copie di shadow del servizio VSS (Volume Shadow Copy Service), tenendo ben presente che la rimozione delle copie replicate dai propri sistemi potrebbe influire sulle operazioni di ripristino, come anche alterare il recovery dei dati attraverso l’impiego di applicazioni di backup di terze parti.

Ecco di seguito le indicazioni di mitigazione suggerite:

  • per limitare l’accesso ai contenuti di %windir%/System32/config:
  1. aprire il prompt dei comandi o Windows PowerShell come amministratore;
  2. eseguire il comando: icacls %windir%system32config*.* /inheritance:e.
  • per eliminare le copie shadow del servizio Copia Shadow del volume (VSS):
  1. eliminare tutti i punti di ripristino del sistema e i volumi shadow che esistevano prima di limitare l’accesso a %windir%/System32/config;
  2. creare, opzionalmente, un nuovo punto di ripristino del sistema.

Conclusioni

Poiché la vulnerabilità zero-day HiveNightmare ha un impatto sul sistema operativo Windows 10 a partire dalla versione 1809 e anche sull’imminente Windows 11, risulta fondamentale che Microsoft, quanto prima, ponga rimedio al problema.

L’ulteriore precisazione riportata nel bollettino di sicurezza, “Aggiorneremo questo CVE man mano che la nostra indagine procede”, indica che molto probabilmente, già entro la fine di questa settimana, una patch verrà rilasciata come aggiornamento di sicurezza eccezionale. In questo caso, sarà di fondamentale importanza installarla immediatamente per mettere in sicurezza le password dei sistemi aziendali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5