Na quarta-feira relatámos uma nova falha de segurança que foi descoberta no Windows 10 e que permite o controlo total do seu computador. Hoje eis que o site BleepingComputer reporta que a Microsoft disponibilizou uma solução temporária que pode impedir que alguém deite a mão ao seu PC e sobretudo às suas credenciais. A correção é algo relativamente simples de se fazer e acaba com a falha no Windows 10 que ficou conhecida por SeriousSAM. Pelo menos enquanto não sai uma correção oficial.
Uma falha de segurança perigosa no Windows 10 mas que já tem correção
A nova falha no Windows 10 permite a qualquer pessoa tomar conta do seu computador. Pior do que isso é que fica com todos os privilégios de administração. Isto está relacionado com as permissões de alguns ficheiros associados com o registo do Windows. Mais especificamente, qualquer pessoa pode aceder aos dados armazenados no SAM, ou seja, o Security Account Manager.
O SAM armazena as credenciais de acesso dos utilizadores num computador e normalmente ninguém consegue aceder a esse sistema. Ou pelo menos devia ser assim. No entanto, descobriu-se que é exatamente o contrário.
Este sistema propriamente dito que armazena as credenciais não está acessível às pessoas porque está sempre em uso. A grande questão é que o Windows faz backup dos conteúdos desse sistema e esses ficheiros sim estão acessíveis a outros. Mesmo os que não têm direitos nenhuns na máquina. Ora essas pessoas podem espreitar os ficheiros e ver as passwords do administrador ou dos administradores. Assim já é possível conseguirem acesso total à máquina.
Para simplificar ainda mais. O ficheiro principal que guarda tudo está protegido e ninguém pode espreitar. As cópias de segurança não e como tal estão vulneráveis.
Esta vulnerabilidade chegou no Windows 10 versão 1809, quando a Microsoft alterou as permissões dos ficheiros de registo. Entretanto esta vulnerabilidade está presente no Windows 10 versão 20H2, mas apenas se fez o upgrade a partir da versão 1809. Se instalou o Windows de raíz esta vulnerabilidade não está presente.
Como resolver temporariamente esta falha?
A primeira coisa é restringir o acesso aos conteúdos da pasta %windir%\system32\config.
Em primeiro lugar abra a linha de comando com privilégios elevados. Para isso na pesquisa ao lado do menu iniciar escreva linha de comando. Depois do lado direito só tem de escolher executar como administrador.
Agora corra o seguinte comando icacls %windir%\system32\config\*.* /inheritance:e
Existe também outra solução. Na prática é apagar as cópias do Volume Shadow Copy Service (VSS).
Assim basta limpar tudo o que exista em %windir%\system32\config. O problema é que este segundo método pode ter impacto nos restauros posteriores que possa querer fazer.
