Así funciona la vulnerabilidad SeriousSam de Windows 10 abierta desde noviembre 2018

Windows, al ser el sistema operativo más usado también tiende a ser el más probado y exigido por lo que se le descubren muchas vulnerabilidades. Estas van siendo mitigadas con actualizaciones a través del tiempo y así se van cubriendo estas fallas de seguridad. Sin embargo, recientemente se ha descubierto una vulnerabilidad en Windows 10 bautizada como SeriousSAM y que ha estado presente en al menos los últimos 2 años.

El gran problema de esta vulnerabilidad es que permite que cualquiera pueda ver carpetas del sistema en donde se almacena la información de las cuentas de usuario. Un problema grave si consideramos que, a través de estos datos es posible obtener permisos de administrador.

SeriousSAM la vulnerabilidad descubierta al probar Windows 11

yarh- for some reason on win11 the SAM file now is READ for users.
So if you have shadowvolumes enabled you can read the sam file like this:

I dont know the full extent of the issue yet, but its too many to not be a problem I think. pic.twitter.com/kl8gQ1FjFt

— Jonas L (@jonasLyk) July 19, 2021

Hace un par días, JonasLyk, quien publica contenido referente a seguridad en su cuenta de Twitter, trajo una curiosidad respecto a sus revisiones en Windows 11. Este notó que el sistema operativo restringe el acceso a las carpetas SAM, Security y System ubicada en Systema32, pero que además, crea copias de ellas desde el servicio Shadow Volume Copy. Esta simple curiosidad llevó a otros investigadores a revisar este comportamiento en otras versiones del sistema y descubrieron que desde Windows 10 v1809, no se está restringiendo el acceso a las copias de estas carpetas. Quiere decir que, la vulnerabilidad SeriousSAM de Windows 10 está presente aproximadamente desde noviembre de 2018.

Con el acceso a la información de estas carpetas, es posible extraer información de las cuentas de usuario, incluso la de administrador. En ese sentido, cualquier atacante estaría en la posibilidad de instalar programas, acceder al registro y cualquier otra zona del sistema operativo.

Microsoft ha reconocido la vulnerabilidad y aunque aún no ofrece una solución, ofreció como alternativa bloquear el acceso a la carpeta directamente o eliminarla. SeriousSAM es una vulnerabilidad con algo más de 2 años en todos los sistemas con Windows 10 y logró darse con ella apenas hace unos días. Si eres administrador de sistemas y quieres probar tus equipos ante ataques que aprovechen esta vulnerabilidad, el investigador de seguridad Kevin Beaumont ha puesto a disposición una herramienta para ello. Para probarla, sigue este enlace.