PTT推薦

[情報] Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞,恐被攻

看板PC_Shopping標題[情報] Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞,恐被攻作者
hn9480412
(ilinker)
時間推噓 4 推:5 噓:1 →:7

Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞,恐被攻擊者濫用,獲得高系統權限

文/周峻佑 | 2021-07-23發表

對於Windows使用者而言,這個月接連被資安研究人員發現PrintNighmare等多個漏洞,都與列印多工緩衝處理器模組(Print Spooler)有關,攻擊者可濫用於本機提升權限(LPE),有的甚至能用來遠端執行程式碼(RCE)攻擊。

然而,資安研究社團Secret Club研究員Jonas Lykkegaard發現,Windows 10、Windows 11存在可被用於提升本機使用者權限的漏洞CVE-2021-36934,而這個漏洞形成的原因,是受到磁碟區陰影複製(Volume Shadow Copy)配置的存取權限有關,導致一般使用者就能存取安全性帳戶管理員(SAM)的檔案。此漏洞很快就得到微軟證實,該公司亦提出緩解措施,但尚未推出修補程式。

關於這個漏洞的稱呼,除了微軟提報為CVE-2021-36934列管,還有2個用來形容它的名稱。例如,Bleeping Computer、The Record、Threatpost等新聞網站稱之為SeriousSAM,而資安業者Malwarebytes與Sophos則稱作HiveNightmare。

這個漏洞並非直接在Windows 10上發現,而是微軟甫於6月底推出的Windows 11測試版本。Jonas Lykkegaard在測試Windows 11時,意外發現新的漏洞:一般低權限的使用者,也能透過磁碟區陰影複製的副本內容,讀取SAM的檔案。這樣的情形,一度被許多人以為只存在於上述測試版作業系統,但隨後也被其他研究人員與資安新聞網站Bleeping Computer驗證,多個版本的Windows 10,在安裝所有的修補程式後,也存在相同的漏洞。

而同樣能以相同手法被一般使用者直接存取的組態設定,並非只有SAM。Jonas Lykkegaard向Bleeping Computer進一步說明,其他存放於%windir%\system32\config資料夾的組態設定檔案,也存在相同的問題,而這些是與Windows登錄檔有關的資料,涉及電腦裡所有使用者的敏感資料,以及Windows功能使用的Token,若是不具高權限的使用者就能存取,就有可能很容易遭到濫用。其中,影響最為直接的就是SAM,因為這個組態檔案包含了電腦所有使用者的密碼雜湊值,對於攻擊者而言,可用來存取特定的使用者帳號。

一般來說,這些Windows登錄檔的組態檔案無法直接存取,若是使用者意圖存取,系統會顯示已被其他程式使用而無法開啟。但Jonas Lykkegaard發現,這些組態檔案通常會被磁碟區陰影複製工具留存副本,且副本裡的組態檔案不需具備特殊權限就能存取。

上述的問題究竟有多嚴重?開發Mimikatz工具的資安研究員Benjamin Delpy指出,攻擊者可藉此輕易偷取NTLM的密碼雜湊值,來提升權限,若是進一步運用這項漏洞,他認為攻擊者可以發動名為Silver Ticket的進階攻擊。這名研究員也透過影片,展示CVE-2021-36934的概念性驗證(PoC)攻擊。

而對於該漏洞的影響範圍,美國電腦網路危機處理暨協調中心(CERT/CC)漏洞分析師Will Dormann與SANS專家Jeff McJunkin不約而同指出,可能與Windows 10 1809版微軟更動的權限配置有關,自該版本之後的Windows都會受到影響。而這樣的推論也得到微軟的證實。

上述漏洞的發現,微軟亦於7月20日發布安全通告,並於隔日提出緩解措施。該公司建議使用者透過以下步驟緩解:包含刪除磁碟區陰影複製的副本資料、刪除系統還原的相關資料,以及限縮對於%windir%\system32\config資料夾內容的存取,來防範攻擊者濫用CVE-
2021-36934。

https://www.ithome.com.tw/news/145812

--

FrostGZ : 崩 08/10 22:22
pokemon1318 : 不 08/10 22:22
a123453906 : 應 08/10 22:23
c52chungyuny: 求你們停了好嗎 08/10 22:24

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.53.191 (臺灣)
PTT 網址

jeta890119 07/26 00:31呃 windows密碼修改器不就幹SAM搞

jeta890119 07/26 00:31

oppoR20 07/26 00:34Marry覺得好害怕

HamalAri 07/26 00:39沒有要修改啊, 只是把 hash 拿去查

HamalAri 07/26 00:39表而已, 因為 ntlm 太爛網路上有太

HamalAri 07/26 00:39多彩虹表了

noneid 07/26 01:36那該如何刪除副本跟系統還原、怎麼

noneid 07/26 01:36設定才能限縮config的存取呢

hitsukiaoi 07/26 05:09每次新作業系統要出來就要這種嚴

hitsukiaoi 07/26 05:09重漏洞嗎

CaLawrence 07/26 09:26還好我已經是11了

C13H16ClNO 07/26 09:36文裡有說win11也有份呢?

shortimex 07/26 12:55不更新比較安全