Реестр Windows действует как репозиторий конфигурации для операционной системы Windows и содержит хеши паролей, пользовательские настройки, параметры конфигурации для приложений, ключи дешифрования системы и пр.
Файлы базы данных, связанные с реестром Windows, хранятся в папке C:\Windows\system32\config и разбиты на разные файлы, такие как SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE. Поскольку эти файлы содержат конфиденциальную информацию обо всех учетных записях пользователей на устройстве и токенах безопасности, используемых функциями Windows, они запрещены для просмотра обычными пользователями без повышенных прав.
Это особенно важно для файла диспетчера учетных записей безопасности (Security Account Manager, SAM), поскольку он содержит хеши паролей для всех пользователей в системе, которые злоумышленники могут использовать для подтверждения своей личности.
По словам Ликкегаарда, файлы реестра Windows 10 и Windows 11, связанные с SAM и всеми другими базами данных реестра, доступны для группы «Пользователи» с низкими привилегиями на устройстве. Во время тестирования Windows 11 специалист обнаружил, что хотя ОС ограничивает доступ к этим файлам для низкоуровневых пользователей, доступные копии файлов сохраняются в теневых копиях. Данная проблема появилась в коде Windows 10 еще в 2018 году, после выпуска версии 1809.
В качестве временных мер по предотвращению эксплуатации уязвимости специалисты компании Microsoft рекомендуют ограничить доступ к уязвимой папке, а также удалить теневые копии.