A Bleeping Computer munkatársai számoltak be elsőként arról az igencsak súlyosnak nevezhető biztonsági résről, amely mind a Windows 10-es, mind pedig a Windows 11-es operációs rendszereket érinti. A Microsoft időközben már kiadott egy leírást, amelynek segítségével manuálisan lehet befoltozni a rést – néhány parancs végrehajtására van sor. Elvileg a későbbiekben hivatalos javítás is érkezhet a hibára, hogy azok is el tudják végezni, akik nem akarnak, vagy éppen nem tudnak a leírásban taglalt műveletekkel bajlódni.

Hogy mégis milyen biztonsági résről van szó? Lényegében olyanról, amelyen keresztül akár egy normál jogosultságú felhasználói fiókon keresztül is lehetséges rendszergazdai jogosultsághoz jutni, ennek birtokában pedig akármit megtehet a támadó: fontos adatokhoz férhet hozzá, beállításokat módosíthat – mindenre képes lehet, amire az adott rendszer adminisztrátori jogosultsággal rendelkező tulajdonosa.

A hiba forrása az, hogy a Windows beállításait, hashelt jelszavait, az alkalmazásokhoz tartozó konfigurációs opciókat, illetve a rendszer titkosító kulcsait tároló Windows Registry fájljaihoz alacsony felhasználói jogosultság mellett is hozzá lehet férni. Ezek a C:\Windows\system32\config könyvtáron belül találhatóak, méghozzá külön fájlokra bontva (SYSTEM, SECURITY, SAM, DEFAULT, és SOFTWARE). Ezek gyakorlatilag a rendszeren található felhasználói fiókokkal kapcsolatos kényes adatokat is rejtenek, valamint a Windows szolgáltatások által használt biztonsági tokenek is itt találhatóak, így elvárható, hogy alacsony jogkörrel rendelkező felhasználói fiókokon keresztül nem lehet őket elérni. Különösen fontos a SAM, vagyis a Security Account Manager fájl, ami a rendelkezésre álló felhasználói fiókük hashelt jelszavait is tartalmazza, így a támadók ezekhez is hozzáférhetnek.

A SAM fájl sajnos bárki által olvasható, nem kell hozzá rendszergazdai jogosultság, valamint a többi Windows Registry adatbázis is hasonlóképpen hozzáférhető a „Felhasználók/Users” nevű csoport számára, ami alap esetben alacsony jogosultságokkal bír. Ezt a tényt egy rövid ellenőrzés keretén belül a Bleeping Computer munkatársai is megerősítették, a teszt alkalmával pedig egy minden biztonsági frissítést tartalmazó Windows 10 20H2 kiadást használtak.

Van a dologban egy csavar is, hiszen a Registry fájlok rendszerint folyamatosan használatban vannak az operációs rendszer által, így nem lehet őket csak úgy megnyitni, de erre is van kerülőút: a Windows Shadow Volume Copies szolgáltatás segítségével a fájlok másolataihoz hozzá lehet férni, ez pedig bőven elég is egy sikeres támadás kivitelezéséhez, ha kellően felkészült a támadó. A SAM fájl itt található:

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM

Érdekesség, hogy ez a malőr a jelek szerint a Windows 10 1809-es buildjénél indult, vagyis az említett fájlok jogosultsági szintjét ez a frissítés állította alacsonyabbra. További érdekesség, hogy a júniusi Windows 10 20H2 telepítőt használva, egy tiszta rendszer-telepítést végezve már megint változik a kép: ebben az esetben alacsony jogosultsági szinten nem érhetőek el a fentebb említett fájlok. Nem világos, hogy új telepítésnél miért vannak rendben a jogosultsági szintek, míg folyamatosan frissített rendszer esetében malőr jelentkezik — erre alighanem választ kapunk a későbbiekben, ugyanis a Microsoft fejlesztőcsapata már megkezdte az eset vizsgálatát, valamint a szükséges lépéseket is megteszik majd, ahogy szükségessé válnak, annak érdekében, hogy a felhasználók biztonságban lehessenek.

Addig is az alábbi műveleteket érdemes elvégezni, ha biztosra szeretnénk menni:

Korlátozzuk a hozzáférést a %windir%\system32\config könyvtárhoz:

Töröljük a Volume Shadow Copy Service (VSS) árnyékmásolatait: