2021 no está siendo el mejor año para la seguridad de Windows. Cada cierto tiempo aparece una nueva falla de seguridad en el sistema operativo que compromete la seguridad de todos los usuarios, fallas que, por cierto, no se solucionan hasta varias semanas después, cuando llega el nuevo Patch Tuesday. Y, por si Microsoft tenía poco con los problemas de seguridad de las impresoras, ahora se ha agregado una nueva falla de seguridad de las más preocupantes:Colmena Pesadilla.
HiveNightmare (nombre que se le ha asignado a esta vulnerabilidad) es una falla de seguridad presente en todas las versiones de Windows 10 desde 1809, y en Windows 11. Gracias a esta falla, cualquier usuario, incluso sin permisos de administrador, puede acceder a archivos críticos del sistema. tal comoSAM, SISTEMA y SEGURIDAD. Al hacerlo, este usuario podría obtener el nivel más alto de privilegios dentro del sistema operativo de Microsoft: SYSTEM. Y, con él, literalmente puede hacer lo que quiera en su PC, incluso ejecutar código aleatorio en la memoria de su PC o cambiar programas de Windows.
Este error es muy similar aSecoa, un error que se publicó el mismo día pero que afecta principalmente a los usuarios de Linux.
Microsoft, de momento, no ha dado mucha información sobre este nuevo problema de seguridad que afecta a todos sus Windows modernos. Sin embargo, gracias a los investigadores, podemos conocer un truco para ver si nos afecta este fallo o, en caso contrario, si nuestro PC ya está protegido.
Pruebe si Windows es vulnerable a HiveNightmare
EnGitHubpodemos encontrar un sencillo script gracias al cual podremos comprobar los permisos de los archivos SAM, SYSTEM y SECURITY con un par dePotencia Shellcomandos. Para ello, lo primero que debemos hacer es abrir una ventana de la consola avanzada de Windows, con permisos de administrador (esto es muy importante) y ejecutar el siguiente comando:
Invoke-WebRequest -URI https://raw.githubusercontent.com/JumpsecLabs/Guidance-Advice/main/SAM_Permissions/SAM_Permissions_Check.ps1 -OutFile ./SAM_Permissions_Check.ps1 -usebasicparsing
Este comando nos permitirá descargar de PowerShell el script ”SAM_Permissions_Check.ps1”De los servidores de GitHub. La descarga solo toma unos minutos, y al final simplemente tendremos que ejecutar lo siguiente:
.SAM_Permissions_Check.ps1
El script se encargará de analizar nuestra PC y nos mostrará si nuestra PC es vulnerable (marcando los archivos afectados en rojo) o si estamos protegidos (marcándolos en verde).
También podemos probarlo desde CMD, si no nos gusta usar PowerShell. Para ello, simplemente tenemos que abrir una ventana de la consola de Windows y ejecutar en ella el siguiente comando:
icacls %windir%/system32/config/sam
Si la salida muestra un mensaje como “BUILTINUsers: (I) (RX)”, entonces estamos en peligro. De lo contrario, nuestra PC estará protegida.
¿Su PC está afectada? Protégete a ti mismo
Si su PC está protegida, ya no tendrá que preocuparse por nada. Por el contrario, si está en peligro, es necesario protegernos si no queremos seguir tomando riesgos. Para ello, lo que debemos hacer es abrir una ventana de CMD, con permisos de administrador, y ejecutar en ella los siguientes comandos:
icacls %windir%/system32/config/*.* /inheritance:e vssadmin delete shadows /for=c: /Quiet vssadmin list shadows
El primer comando activa la interherencia de ACL, el segundo borra las instantáneas del sistema y el tercero comprueba que no haya instantáneas en el sistema.
Ahora estamos protegidos hasta que Microsoft corrija definitivamente este grave problema en Windows.
