In una nota sulla sicurezza, Microsoft ha comunicato che è stata scoperta una nuova vulnerabilità in grado di accedere al Registro di sistema di Windows.

Patch per la falla nel registro in arrivo

La nuova vulnerabilità 0-day identificata come CVE-2021-36934 riguarda i file del Registro di sistema di Windows 10 a partire dalla versione 1809 fino alle più recenti (e probabilmente anche Windows 11) associati al Security Account Manager (SAM) e a tutti gli altri database del registro archiviati in C:\Windows\system32\config. Questi ultimi sarebbero accessibili da utenti con privilegi bassi su un dispositivo, per tanto viene indicato un rischio di sfruttamento molto probabile, sebbene non siano ancora stati rivelati attacchi.

Esiste una vulnerabilità di elevazione dei privilegi a causa di elenchi di controllo di accesso (ACL) eccessivamente permissivi su più file di sistema, incluso il database Security Accounts Manager (SAM). Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe eseguire codice arbitrario con privilegi SYSTEM. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi.

Microsoft non ha ancora corretto la falla che verrà probabilmente corretta con una nuova patch di sicurezza straordinaria. Nel frattempo ha rilasciato una soluzione temporanea per impedire l’accesso ai suddetti registri.

Limita l’accesso ai contenuti di %windir%\system32\config

  1. Apri il prompt dei comandi o Windows PowerShell come amministratore.
  2. Esegui questo comando: icacls %windir%\system32\config\*.* /inheritance:e

Elimina le copie shadow del servizio Copia Shadow del volume (VSS)

  1. Elimina tutti i punti di ripristino del sistema e i volumi shadow che esistevano prima di limitare l’accesso a %windir%\system32\config.
  2. Crea un nuovo punto di ripristino del sistema (se lo desideri).

Impatto della soluzione alternativa: l’eliminazione delle copie replicate potrebbe influire sulle operazioni di ripristino, inclusa la possibilità di ripristinare i dati con applicazioni di backup di terze parti.

Nota | È necessario limitare l’accesso ed eliminare le copie shadow per impedire lo sfruttamento di questa vulnerabilità.

Cosa ne pensate di questa vulnerabilità scoperta? Fatecelo sapere nei commenti.

Articolo di Windows Blog Italia
Fonti | 1, 2