最新發現！Windows 11也受本地提權漏洞HiveNightmare影響

作者：左右裡

編輯：釉子

7月20日，微軟確認了一個新的本地提權漏洞，安全研究成員將其稱為HiveNightmare或者SeriousSAM，該漏洞允許低許可權的使用者訪問Windows系統檔案。成功利用此漏洞的攻擊者可以使用SYSTEM特權執行任意程式碼。然後攻擊者就可以安裝程式、檢視更改刪除資料或建立具有完全使用者許可權的新賬戶。

微軟發文稱，由於多個系統檔案（包括安全賬戶管理器資料庫SAM）過度許可訪問控制列表，導致出現本地提權漏洞。

通過該漏洞，攻擊者可以獲得%windir%\system32\config目錄中檔案的許可權。一般情況下，登錄檔檔案（如 SAM 檔案）始終由作業系統執行，   因此當使用者嘗試訪問這些檔案時，將會顯示訪問違規，這是因為檔案由其他程式開啟並鎖定。

但是，由於登錄檔檔案（包括 SAM）通常由Windows卷影副本備份，這意味著攻擊者可以在不違反訪問規定的情況下通過卷影副本訪問這些檔案。

 

而這最終導致的結果是，如果系統驅動器的VSS卷影副本可用，低許可權使用者可以利用該漏洞訪問登錄檔檔案來實現以下目的：

• 提取和利用帳戶密碼。

• 發現原始的 Windows 安裝密碼。

• 獲取 DPAPI 計算機金鑰，可用於解密所有計算機私鑰。

• 獲取計算機帳戶，可用於銀票攻擊。 

據悉，該漏洞會影響Windows自2018年10月以來發布的版本，即Windows 10 Version 1809以後的版本。

如果你的系統在這個範圍內，想知道自己的系統是否容易受到攻擊，可以從低許可權命令提示符中使用以下命令：

icacls c:\windows\system32\config\sam

 

如果輸出：

BUILTIN\Users:(I)(RX)

表示該系統易受攻擊。

 

如果輸出：

C:\Windows\system32\config\sam: Access is denied.

Successfully processed 0 files; Failed processing 1 files

說明該系統不易受攻擊。

 

微軟目前仍在研究該漏洞（編號為CVE-2021-36934），還未釋出補丁更新。不過微軟提供了一個臨時性的解決方案。

 

首先要限制對 %windir%\system32\config 內容的訪問：

1. 以管理員身份開啟命令提示符或 Windows PowerShell

2. 執行此命令：icacls %windir%\system32\config\*.* /inheritance:e

 

然後刪除 Volume Shadow Copy Service (VSS) 的卷影副本：

1. 刪除在限制訪問%windir%\system32\config之前存在的任何系統還原點和卷影副本。

2. 建立一個新的系統還原點。

不過大家在操作時需要注意的是，從系統中刪除卷影副本會影響系統和檔案的“恢復“操作。

 

推薦文章++++

* Linux裝置淪為礦機，黑客暴力破解SSH

* 開發微信搶紅包軟體被罰475萬！

* 谷歌詳細披露4個0day漏洞！已有黑客正在利用

* 又一非法採集人臉資訊企業被查處！人臉資訊保護刻不容緩

* 工信部等三部門：任何組織或者個人不得利用網路產品安全漏洞從事危害網路安全的活動

* 小心Android加密貨幣雲挖礦服務！詐騙App已氾濫

* 工信部開展專項整治，彈窗廣告騷擾問題有救了！

﹀

﹀

﹀

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com