CVE-2021-36934: WIN10/11 SAM安全数据库严重提权漏洞的修复方法

编者按

近日,网络安全研究人员披露了微软Windows 10/11操作系统中关于影卷功能导致的SAM安全数据库的提权漏洞,该安全漏洞将所有系统都暴露给攻击者以访问数据并在系统上创建新帐户。详情请参见正文。

CVE-2021-36934 漏洞详情

微软上周三发布了一个影响Windows 10操作系统的提权漏洞的解决方法,以防止攻击者访问SAM数据并在受感染的系统上创建新帐户。

这个被称为 Serious SAM 的漏洞会影响所有版本的 Windows 10中的安全帐户管理器 (SAM) 数据库。Windows 中的SAM组件包含用户帐户凭据和网络域信息——这是攻击者的一个重要目标。滥用该漏洞的先决条件是攻击者需要远程或本地访问易受攻击的 Windows 10系统。

微软表示,该漏洞的存在是因为多个系统文件(包括(SAM)数据库)上的访问控制列表过于宽松。“成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户”

简单地说,攻击者可以利用该漏洞访问散列凭据的SAM数据库,然后可以脱机解密并用于绕过 Windows 10用户访问控制。

该安全漏洞被微软评为严重等级。网络安全研究人员乔纳斯·莱克 (Jonas Lyk) 周末向微软披露了该漏洞,并于周一向公众披露了该漏洞信息。研究人员 Kevin Beaumont 发布了概念验证代码,以帮助网络管理员识别漏洞。

研究人员表示,该漏洞还会影响 Windows 11的预览版本(计划于 2021 年 10 月发布)。“出于某种原因,在Win11 上,如果您启用了影卷功能,那么攻击者就可以读取SAM文件。”

研究人员表示,该漏洞是在修复Windows 11时发现的。他解释说,SAM 数据库内容虽然无法在操作系统上访问,但可以在 Windows影卷复制 (VSS) 备份的一部分时访问。

影卷复制VSS是一项服务,允许自动或手动实时备份与特定驱动器号(卷)相关的系统文件(保留在当前状态)。

追溯到 2018年 (v1809) 的 Windows 10 系统上也存在同样的问题。

微软安全公告板关于此漏洞的评估详情

概念验证办法

验证程序运行截图

安全漏洞验证项目链接:

https://github.com/GossiTheDog/HiveNightmare

验证程序下载链接:https://github.com/GossiTheDog/HiveNightmare/raw/master/Release/HiveNightmare.exe

修复办法

微软暂时不能提供该漏洞的修复补丁,只有一个简单的临时解决方案。建议系统管理员删除影卷文件的备份副本,

微软将两步过程解释为:“如果系统还原点或者影卷没有限制访问 %windir%\system32\config,那么删除它们并在限制访问此目录后创建新的系统还原点。”

不过,微软警告说,删除影卷副本“可能会影响还原操作,包括使用第三方备份应用程序还原数据的能力。”

文章来源:网络安全与网络战

标签: