Il registro di sistema di Windows è un archivio contenente un ampio ventaglio di informazioni riguardanti la configurazione del sistema operativo e delle applicazioni installate.
Come abbiamo visto nella guida sugli aspetti più interessanti e utili del registro di sistema questo componente contiene anche hash delle password, personalizzazioni, opzioni avanzate, chiavi di decodifica e molto altro ancora.
I file che compongono il registro di sistema di Windows sono conservati nella cartella Windows\System32\config
e sono suddivisi in più file memorizzati con i seguenti nomi: SYSTEM, SECURITY, SAM, DEFAULT, SOFTWARE
.
In particolare il file Security Account Manager (SAM) contiene gli hash delle password per tutti gli account utente impostati sul sistema.
Poiché questi file contengono informazioni sensibili su tutti gli account utente creati su un dispositivo e i token di sicurezza utilizzati dal sistema operativo essi dovrebbero essere adeguatamente protetti dagli utenti non in possesso di privilegi elevati.
Il noto ricercatore Jonas Lykkegaard ha scoperto che gli utenti del gruppo Users possono accedere al contenuto di qualunque file del registro di sistema pur disponendo di privilegi limitati. Ciò vale sia nel caso delle varie versioni ed edizioni di Windows 10 che per un sistema operativo non ancora rilasciato in veste finale come Windows 11.
Usando un account con diritti utente limitati un eventuale aggressore può ad esempio estrarre gli hash delle password NTLM di tutti gli account e utilizzarli per qualunque tipo di operazione. L’attacco è stato battezzato SeriousSAM.
Poiché i file di registro, come SAM, sono sempre in uso da parte del sistema operativo, quando si tenta di accedere al file si riceverà una violazione di accesso poiché i file sono aperti e bloccati.
Dal momento che Windows mantiene e aggiorna periodicamente le cosiddette copie shadow basta usare il loro contenuto per recuperare una copia del registro di sistema precedentemente creata. Anzi, proprio le copie shadow sono un ottimo strumento per recuperare file modificati o cancellati in Windows.
In un bollettino appena pubblicato Microsoft ha confermato l’esistenza del problema (CVE-2021-36934) spiegando che un aggiornamento ufficiale out-of-band sarà rilasciato nei prossimi giorni.
Come misura temporanea si può nel frattempo utilizzare il comando icacls %windir%\system32\config\*.* /inheritance:e
sui sistemi maggiormente esposti valutando la cancellazione delle copie shadow create in precedenza e impedendo la creazione di backup del contenuto della cartella %windir%\system32\config
.
I comandi da usare sono i seguenti:
vssadmin delete shadows /for=c: /Quiet
vssadmin list shadows
Va detto che come abbiamo visto nell’articolo incentrato sul recupero delle password di Windows dimenticate, sui sistemi non protetti con BitLocker o con altre soluzioni per la crittografia del sistema è possibile leggere il contenuto del file SAM e riportare in chiaro le password degli account utente.