Blog

Ontdek onze laatste nieuwsberichten

Data Security Tips & Tricks

Nieuwe kwetsbaarheid in Windows 10 maakt het voor iedereen mogelijk om admin te worden

23/07/2021

Windows 10 en Windows 11 zijn kwetsbaar voor een lokaal "elevation of privilege"-lek nadat is ontdekt dat gebruikers met lage privileges toegang kunnen krijgen tot gevoelige registerdatabasebestanden.

Het Windows-register fungeert als de opslagplaats voor de configuratie van het Windows-besturingssysteem en bevat onder meer gehashte wachtwoorden, aangepaste gebruikersinstellingen, configuratieopties voor toepassingen en systeemontsleutelingscodes.

De databestanden die bij het Windows Register horen staan in de mapC:\Windows\system32\config en zijn onderverdeeld in verschillende bestanden zoals SYSTEM, SECURITY, SAM, DEFAULT, en SOFTWARE.

Aangezien deze bestanden gevoelige informatie bevatten over alle gebruikersaccounts op een apparaat en beveiligingstokens die door Windows-functies worden gebruikt, moeten ze worden beschermd tegen inzage door gewone gebruikers zonder verhoogde rechten.

Dit geldt met name voor het bestand Security Account Manager (SAM), omdat dit de gehashte wachtwoorden voor alle gebruikers op een systeem bevat, die bedreigers kunnen gebruiken om hun identiteit aan te nemen.

SAM bestand kan door iedereen gelezen worden

Gisteren werd ontdekt dat de Windows 10 en Windows 11 registerbestanden die zijn gekoppeld aan de Security Account Manager (SAM), en alle andere registerdatabases, toegankelijk zijn voor de groep 'Users' die lage rechten heeft op een apparaat.

Met deze lage bestandsrechten kan een bedreiger met beperkte rechten op een apparaat de gehashte NTLM-wachtwoorden voor alle accounts op een apparaat extraheren en die hashes gebruiken in pass-the-hash-aanvallen om verhoogde rechten te krijgen.

Check of jouw PC hiervoor kwetsbaar is

Om te controleren of uw Windows 10- of Windows 11-installatie is aangetast, kunt u een opdrachtprompt openen en de volgende opdracht invoeren:

icacls c:\windows\system32\config\sam

Als de uitvoer de volgende toestemming weergeeft, is uw Windows-installatie getroffen door de kwetsbaarheid.

BUILTIN\Users:(I)(RX)