作者:左右里
编辑:釉子
7月20日,微软确认了一个新的本地提权漏洞,安全研究成员将其称为HiveNightmare或者SeriousSAM,该漏洞允许低权限的用户访问Windows系统文件。成功利用此漏洞的攻击者可以使用SYSTEM特权运行任意代码。然后攻击者就可以安装程序、查看更改删除数据或创建具有完全用户权限的新账户。
微软发文称,由于多个系统文件(包括安全账户管理器数据库SAM)过度许可访问控制列表,导致出现本地提权漏洞。
通过该漏洞,攻击者可以获得%windir%\system32\config目录中文件的权限。一般情况下,注册表文件(如 SAM 文件)始终由操作系统运行, 因此当用户尝试访问这些文件时,将会显示访问违规,这是因为文件由其他程序打开并锁定。
但是,由于注册表文件(包括 SAM)通常由Windows卷影副本备份,这意味着攻击者可以在不违反访问规定的情况下通过卷影副本访问这些文件。
而这最终导致的结果是,如果系统驱动器的VSS卷影副本可用,低权限用户可以利用该漏洞访问注册表文件来实现以下目的:
据悉,该漏洞会影响Windows自2018年10月以来发布的版本,即Windows 10 Version 1809以后的版本。
如果你的系统在这个范围内,想知道自己的系统是否容易受到攻击,可以从低权限命令提示符中使用以下命令:
icacls c:\windows\system32\config\sam
如果输出:
BUILTIN\Users:(I)(RX)
表示该系统易受攻击。
如果输出:
C:\Windows\system32\config\sam: Access is denied.
Successfully processed 0 files; Failed processing 1 files
说明该系统不易受攻击。
微软目前仍在研究该漏洞(编号为CVE-2021-36934),还未发布补丁更新。不过微软提供了一个临时性的解决方案。
首先要限制对 %windir%\system32\config 内容的访问:
1. 以管理员身份打开命令提示符或 Windows PowerShell
2. 运行此命令:icacls %windir%\system32\config\*.* /inheritance:e
然后删除 Volume Shadow Copy Service (VSS) 的卷影副本:
1. 删除在限制访问%windir%\system32\config之前存在的任何系统还原点和卷影副本。
2. 创建一个新的系统还原点。
不过大家在操作时需要注意的是,从系统中删除卷影副本会影响系统和文件的“恢复“操作。
推荐文章++++
* Linux设备沦为矿机,黑客暴力破解SSH
* 开发微信抢红包软件被罚475万!
* 谷歌详细披露4个0day漏洞!已有黑客正在利用
* 又一非法采集人脸信息企业被查处!人脸信息保护刻不容缓
* 工信部等三部门:任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动
* 小心Android加密货币云挖矿服务!诈骗App已泛滥
* 工信部开展专项整治,弹窗广告骚扰问题有救了!
﹀
﹀
﹀
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com