El problema fue descubierto por el investigador de seguridad Jonas Lykkegaard. Esta vulnerabilidad permite que las cuentas locales creadas en el sistema, puedan ver o incluso modifiquen todo tipo de información, incluidas las contraseñas de acceso para las cuentas de administrador.
La vulnerabilidad está en las reglas de seguridad para el Registro de Windows y el Administrador de cuentas de seguridad (SAM). Estos tienen restricciones insuficientes para permitir a los usuarios un acceso sin restricciones a los archivos.
El registro de Windows actúa como depósito de configuración, este contiene personalizaciones de usuario, opciones de configuración de aplicaciones, contraseñas hash y claves de descifrado, entre otras cosas. De esta forma todos los archivos asociados con el administrador de cuentas de seguridad (SAM) y todas las bases del registro, son perfectamente visibles para cuentas locales o sin privilegios en un dispositivo.
Según Will Dornmann, analista de Vulnerabilidades en el CERT / CC y Jeff McJunkin, instructor de SANS en Oregón, Microsoft introdujo estos cambios de permisos en la versión de Windows 10 1809. Pero que el problema estaría resuelto en la versión de compilación 20H2 de junio, siempre que se realice una instalación nueva del sistema.
Por lo que la vulnerabilidad estaría resuelta para instalaciones en limpio pero no se solucionó si se actualiza desde una versión de compilación anterior a la más reciente. De todas maneras, Microsoft ya es conocedora del problema y está trabajando en solventarlo lo antes posible.
Cómo comprobar si mi Windows 10 o Windows 11 sufre esta vulnerabilidad
Si quieres comprobar si tu instalación de Windows 10 o Windows 11 sufre esta vulnerabilidad. Simplemente acceda al símbolo del sistema o CMD y teclee lo siguiente:
icacls c:\windows\system32\config\samSi la salida muestra algo similar a esto:
BUILTIN\Users:(I)(RX)Su sistema sufre este problema. La salida «users» puede variar a «usuarios» dependiendo del idioma del sistema operativo.
Cómo solventar esta vulnerabilidad
Microsoft es consciente del problema y ha asignado el código de error CVE-2021-36934.
Hay una forma de corregir la vulnerabilidad hasta que la compañía publique el parche oficial de seguridad. Esta solución requiere que limitemos el acceso a «%windir%\system32\config» desde la terminal de Windows, eliminar todos los puntos de restauración del sistema anteriores y los archivos de instantáneas de volumen (VSS).
Para restringir el acceso al contenido, siga estos pasos:
- Abra el Símbolo del Sistema o CMD. Escribiendo en el menú inicio «Símbolo del sistema»
- Ejecute el comando: icacls %windir%\system32\config\*.* /inheritance:e
- Y listo
