最新发现!Windows 11也受本地提权漏洞HiveNightmare影响

7月20日,微软确认了一个新的本地提权漏洞,安全研究成员将其称为HiveNightmare或者SeriousSAM,该漏洞允许低权限的用户访问Windows系统文件。成功利用此漏洞的攻击者可以使用SYSTEM特权运行任意代码。然后攻击者就可以安装程序、查看更改删除数据或创建具有完全用户权限的新账户。

微软发文称,由于多个系统文件(包括安全账户管理器数据库SAM)过度许可访问控制列表,导致出现本地提权漏洞。

通过该漏洞,攻击者可以获得%windir%\system32\config目录中文件的权限。一般情况下,注册表文件(如 SAM 文件)始终由操作系统运行,因此当用户尝试访问这些文件时,将会显示访问违规,这是因为文件由其他程序打开并锁定。

但是,由于注册表文件(包括 SAM)通常由Windows卷影副本备份,这意味着攻击者可以在不违反访问规定的情况下通过卷影副本访问这些文件。

而这最终导致的结果是,如果系统驱动器的VSS卷影副本可用,低权限用户可以利用该漏洞访问注册表文件来实现以下目的:

提取和利用帐户密码。

发现原始的 Windows 安装密码。

获取 DPAPI 计算机密钥,可用于解密所有计算机私钥。

获取计算机帐户,可用于银票攻击。

据悉,该漏洞会影响Windows自2018年10月以来发布的版本,即Windows 10 Version 1809以后的版本。

如果你的系统在这个范围内,想知道自己的系统是否容易受到攻击,可以从低权限命令提示符中使用以下命令:

icacls c:\windows\system32\config\sam

如果输出:

BUILTIN\Users:(I)(RX)

表示该系统易受攻击。

如果输出:

C:\Windows\system32\config\sam: Access is denied.

Successfully processed 0 files; Failed processing 1 files

说明该系统不易受攻击。

微软目前仍在研究该漏洞(编号为CVE-2021-36934),还未发布补丁更新。不过微软提供了一个临时性的解决方案。

首先要限制对 %windir%\system32\config 内容的访问:

1. 以管理员身份打开命令提示符或 Windows PowerShell

2. 运行此命令:icacls %windir%\system32\config\*.* /inheritance:e

然后删除 Volume Shadow Copy Service (VSS) 的卷影副本:

1. 删除在限制访问%windir%\system32\config之前存在的任何系统还原点和卷影副本。

2. 创建一个新的系统还原点。

不过大家在操作时需要注意的是,从系统中删除卷影副本会影响系统和文件的“恢复“操作。

原文来源:看雪学院

标签: