Nueva vulnerabilidad en SAM

Parece ser que este mes de Julio va a ser de los peores en vulnerabilidades en mucho tiempo, ayer hablábamos de PrintNightmare v2 que era la tercera vulnerabilidad en el servicio cola de Impresión en menos de 1 mes y ahora resulta, que un error de permisos en la base de datos local SAM (Almacén de usuarios, contraseñas y grupos de nuestros PCs), permite a cualquier usuario (No administradores) acceder a esta y por lo tanto consultar usuarios y contraseñas de nuestros equipos.

¿Qué es SAM?

SAM es la base de datos local almacenada en nuestro equipo que guarda nuestros usuarios, contraseñas y grupos del equipo que luego usamos para autenticarnos y acceder a nuestros equipos. Esta base de datos debería estar protegida al máximo por Microsoft dado que delante de cualquier problema en ella como es el caso, un atacante podría conseguir contraseñas que en ocasiones, a mas del PC, usamos en otros servicios y por lo tanto comprometer un gran número de servicios

¿A qué versiones afecta?

El error parece detectarse a partir de la versión Windows 10  1803 y superiores. Afecta también por igual a servidores Windows 2012, 2016 y 2019.

¿Como verificar si me afecta este error?

Abrir un powershell y ejecutar el siguiente comando:

icacls c:\windows\system32\config\SAM

Se nos cargará lo siguiente:

Si aparece el grupo BUILTIN\Usuarios estás afectado.

Estoy afectado, ¿qué puedo hacer?

Algunos usuarios reportan que si se trata de acceder al fichero en cuestión c:\windows\system32\config\ simplemente abriendo un explorador y visitando la ruta los permisos se restablecen.

Por el momento es el único workaround que existe y esperamos que en breve tengamos un parche de emergencia.