[情報] Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞，恐被攻

Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞，恐被攻擊者濫用，獲得高系統權限

文/周峻佑 | 2021-07-23發表

對於Windows使用者而言，這個月接連被資安研究人員發現PrintNighmare等多個漏洞，都與列印多工緩衝處理器模組（Print Spooler）有關，攻擊者可濫用於本機提升權限（LPE），有的甚至能用來遠端執行程式碼（RCE）攻擊。

然而，資安研究社團Secret Club研究員Jonas Lykkegaard發現，Windows 10、Windows 11存在可被用於提升本機使用者權限的漏洞CVE-2021-36934，而這個漏洞形成的原因，是受到磁碟區陰影複製（Volume Shadow Copy）配置的存取權限有關，導致一般使用者就能存取安全性帳戶管理員（SAM）的檔案。此漏洞很快就得到微軟證實，該公司亦提出緩解措施，但尚未推出修補程式。

關於這個漏洞的稱呼，除了微軟提報為CVE-2021-36934列管，還有2個用來形容它的名稱。例如，Bleeping Computer、The Record、Threatpost等新聞網站稱之為SeriousSAM，而資安業者Malwarebytes與Sophos則稱作HiveNightmare。

這個漏洞並非直接在Windows 10上發現，而是微軟甫於6月底推出的Windows 11測試版本。Jonas Lykkegaard在測試Windows 11時，意外發現新的漏洞：一般低權限的使用者，也能透過磁碟區陰影複製的副本內容，讀取SAM的檔案。這樣的情形，一度被許多人以為只存在於上述測試版作業系統，但隨後也被其他研究人員與資安新聞網站Bleeping Computer驗證，多個版本的Windows 10，在安裝所有的修補程式後，也存在相同的漏洞。

而同樣能以相同手法被一般使用者直接存取的組態設定，並非只有SAM。Jonas Lykkegaard向Bleeping Computer進一步說明，其他存放於%windir%\system32\config資料夾的組態設定檔案，也存在相同的問題，而這些是與Windows登錄檔有關的資料，涉及電腦裡所有使用者的敏感資料，以及Windows功能使用的Token，若是不具高權限的使用者就能存取，就有可能很容易遭到濫用。其中，影響最為直接的就是SAM，因為這個組態檔案包含了電腦所有使用者的密碼雜湊值，對於攻擊者而言，可用來存取特定的使用者帳號。

一般來說，這些Windows登錄檔的組態檔案無法直接存取，若是使用者意圖存取，系統會顯示已被其他程式使用而無法開啟。但Jonas Lykkegaard發現，這些組態檔案通常會被磁碟區陰影複製工具留存副本，且副本裡的組態檔案不需具備特殊權限就能存取。

上述的問題究竟有多嚴重？開發Mimikatz工具的資安研究員Benjamin Delpy指出，攻擊者可藉此輕易偷取NTLM的密碼雜湊值，來提升權限，若是進一步運用這項漏洞，他認為攻擊者可以發動名為Silver Ticket的進階攻擊。這名研究員也透過影片，展示CVE-2021-36934的概念性驗證（PoC）攻擊。

而對於該漏洞的影響範圍，美國電腦網路危機處理暨協調中心（CERT/CC）漏洞分析師Will Dormann與SANS專家Jeff McJunkin不約而同指出，可能與Windows 10 1809版微軟更動的權限配置有關，自該版本之後的Windows都會受到影響。而這樣的推論也得到微軟的證實。

上述漏洞的發現，微軟亦於7月20日發布安全通告，並於隔日提出緩解措施。該公司建議使用者透過以下步驟緩解：包含刪除磁碟區陰影複製的副本資料、刪除系統還原的相關資料，以及限縮對於%windir%\system32\config資料夾內容的存取，來防範攻擊者濫用CVE-
2021-36934。

https://www.ithome.com.tw/news/145812

--