剑客网

  |  手机版

收藏网站

剑客网,汇聚专业声音 解析IT潮流

win11系统

首页 > win11系统 >

HiveNightmare称Windows 10和Windows 11存在安全漏洞

浏览:出处:剑客网2021-07-22 16:07

  HiveNightmare: Windows 10和Windows 11有一个安全漏洞,可以利用该漏洞获得对注册表的管理访问权,在Windows 10中发现了一个本地权限升级漏洞,可以用来访问注册表中其他不可访问的区域。反过来,这种访问使发现密码、获得DPAPI解密密钥等成为可能。这个问题也影响到Windows 11。

  这个零日漏洞被称为HiveNightmare(因为它允许访问注册蜂巢),它是紧随PrintNightmare安全漏洞而来的。虽然目前还没有可用的补丁,但微软同时提供了一个解决方案的细节。

  该漏洞允许未经授权访问注册表非常敏感的部分,特别是安全帐户管理器(SAM)、系统和安全hive文件。US-CERT警告称,该安全漏洞影响到Windows 10 1809及以上版本,一名安全研究人员发现Windows 11也存在该漏洞。

  US-CERT的建议对该缺陷的潜在影响提出了警告,指出了一些不受欢迎的结果,“包括但不限于”:

  提取和利用帐户密码哈希。

  发现原Windows安装密码。

  获取DPAPI计算机密钥,该密钥可用于解密所有计算机私钥。

  获得一个计算机机器帐户,可以用于银票攻击。

  该漏洞被追踪为CVE-2021-36934,微软描述称:

  由于对多个系统文件(包括安全帐户管理器(SAM)数据库)的过度许可访问控制列表(acl),存在特权提升漏洞。成功利用此漏洞的攻击者可以使用SYSTEM特权运行任意代码。然后攻击者就可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。攻击者必须能够在受害系统上执行代码来利用这个漏洞。

  安全研究人员乔纳斯·莱克(Jonas Lyk)发现并分享了该漏洞的细节,本杰明·德尔比(Benjamin Delpy)提供了其他工作。Lyk的研究还揭示了Windows 11的漏洞:

  由于某些原因,win11上的SAM文件现在对用户来说是READ。

  所以如果你启用了shadowvolumes,你可以像这样读取sam文件:

  我还不知道问题的严重程度,但我认为问题太多了。

  删除在限制访问%windir%\system32\config之前存在的任何系统恢复点和阴影卷。

  创建一个新的系统恢复点(如果需要的话)。

  解决方案影响删除阴影副本会影响恢复操作,包括使用第三方备份应用恢复数据的能力。

  注意:您必须限制访问并删除影子副本,以防止利用此漏洞。

  US-CERT建议包括以下工作区:

  限制对sam、系统和安全文件的访问,并删除VSS影子副本

  一旦纠正了这些文件的acl,就必须删除系统驱动器的任何VSS影子副本,以保护系统不被利用。这可以通过以下命令完成,假设你的系统驱动器是c::

  vssadmin delete shadows /for=c: /Quiet

  再次运行vssadmin list shadows,确认VSS shadow副本已被删除。请注意,任何依赖于现有映像副本的功能,如System Restore,将不能按预期的方式工作。新创建的影副本(包含适当的acl)将按预期运行。

相关文章

最新新闻

网警备案