Jonas Lyk, especialista en ciberseguridad, reportó el hallazgo de una vulnerabilidad crítica en los sistemas Windows 10 cuya explotación permitiría a los actores de amenazas obtener altos privilegios e incluso robar contraseñas de usuario. El experto menciona que la vulnerabilidad reside en la firma en que el sistema operativo otorga acceso a sus archivos de configuración.
La falla fue apodada “SeriousSAM”, en referencia a la firma en que Windows 10 controla el acceso a carpetas como SAM, SECURITY y SYSTEM. Estas son carpetas importantes en el sistema, ya que contienen información como contraseñas con hashing para todas las cuentas de usuario en el sistema, además de configuraciones de seguridad, claves de cifrado y otros detalles confidenciales.
Los hackers maliciosos con acceso a estos archivos podrían extraer información confidencial con el fin de acceder a contraseñas y otros detalles con fines maliciosos. Dada la información almacenada en estos directorios, solamente una cuenta de administrador de Windows podría interactuar con estos archivos.
El investigador encontró la vulnerabilidad mientras analizaba una versión de prueba de Windows 11. En su reporte, Lyk menciona que mientras Windows restringe el acceso a los archivos de configuración confidenciales sólo para los usuarios con altos privilegios, las copias de estos archivos también se guardan en archivos de respaldo debido al trabajo de Shadow Volume Copy, una función del sistema que crea registros de los archivos.
Los actores de amenazas persistentes en los sistemas afectados podrían abusar de esta falla para obtener control total sobre las más recientes versiones de Windows, lanzadas los últimos tres años. El principal riesgo es el potencial acceso al archivo de configuración de Security Account Manager (SAM), ya que esta acción permitirá a los hackers robar contraseñas con hashing y secuestrar cuentas vulnerables.
Es necesario destacar que otros archivos de configuración almacenados en las carpetas vulnerables también podrían generar información sujeta a intentos de ciberataque, incluyendo claves de cifrado DPAPI y detalles de las cuentas de administrador.
En su alerta de seguridad, Microsoft reconoce la presencia de la vulnerabilidad, que recibió el identificador CVE-2021-36934. La compañía recomienda eliminar del sistema operativo todas las copias de seguridad establecidas por Shadow Volume para mitigar el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad