[情報] Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞，恐被攻

看板PC_Shopping (個人電腦購買)作者hn9480412 (ilinker)時間4年前 (2021/07/26 00:11)推噓4(5推 1噓 7→)

留言13則, 8人參與討論串1/1

Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞，恐被攻擊者濫用，獲得高系統權限文/周峻佑 | 2021-07-23發表對於Windows使用者而言，這個月接連被資安研究人員發現PrintNighmare等多個漏洞，都與列印多工緩衝處理器模組（Print Spooler）有關，攻擊者可濫用於本機提升權限（LPE ），有的甚至能用來遠端執行程式碼（RCE）攻擊。然而，資安研究社團Secret Club研究員Jonas Lykkegaard發現，Windows 10、Windows 11 存在可被用於提升本機使用者權限的漏洞CVE-2021-36934，而這個漏洞形成的原因，是受到磁碟區陰影複製（Volume Shadow Copy）配置的存取權限有關，導致一般使用者就能存取安全性帳戶管理員（SAM）的檔案。此漏洞很快就得到微軟證實，該公司亦提出緩解措施，但尚未推出修補程式。關於這個漏洞的稱呼，除了微軟提報為CVE-2021-36934列管，還有2個用來形容它的名稱。例如，Bleeping Computer、The Record、Threatpost等新聞網站稱之為SeriousSAM，而資安業者Malwarebytes與Sophos則稱作HiveNightmare。這個漏洞並非直接在Windows 10上發現，而是微軟甫於6月底推出的Windows 11測試版本。 Jonas Lykkegaard在測試Windows 11時，意外發現新的漏洞：一般低權限的使用者，也能透過磁碟區陰影複製的副本內容，讀取SAM的檔案。這樣的情形，一度被許多人以為只存在於上述測試版作業系統，但隨後也被其他研究人員與資安新聞網站Bleeping Computer驗證，多個版本的Windows 10，在安裝所有的修補程式後，也存在相同的漏洞。而同樣能以相同手法被一般使用者直接存取的組態設定，並非只有SAM。Jonas Lykkegaard 向Bleeping Computer進一步說明，其他存放於%windir%\system32\config資料夾的組態設定檔案，也存在相同的問題，而這些是與Windows登錄檔有關的資料，涉及電腦裡所有使用者的敏感資料，以及Windows功能使用的Token，若是不具高權限的使用者就能存取，就有可能很容易遭到濫用。其中，影響最為直接的就是SAM，因為這個組態檔案包含了電腦所有使用者的密碼雜湊值，對於攻擊者而言，可用來存取特定的使用者帳號。一般來說，這些Windows登錄檔的組態檔案無法直接存取，若是使用者意圖存取，系統會顯示已被其他程式使用而無法開啟。但Jonas Lykkegaard發現，這些組態檔案通常會被磁碟區陰影複製工具留存副本，且副本裡的組態檔案不需具備特殊權限就能存取。上述的問題究竟有多嚴重？開發Mimikatz工具的資安研究員Benjamin Delpy指出，攻擊者可藉此輕易偷取NTLM的密碼雜湊值，來提升權限，若是進一步運用這項漏洞，他認為攻擊者可以發動名為Silver Ticket的進階攻擊。這名研究員也透過影片，展示CVE-2021-36934 的概念性驗證（PoC）攻擊。而對於該漏洞的影響範圍，美國電腦網路危機處理暨協調中心（CERT/CC）漏洞分析師Will Dormann與SANS專家Jeff McJunkin不約而同指出，可能與Windows 10 1809版微軟更動的權限配置有關，自該版本之後的Windows都會受到影響。而這樣的推論也得到微軟的證實。上述漏洞的發現，微軟亦於7月20日發布安全通告，並於隔日提出緩解措施。該公司建議使用者透過以下步驟緩解：包含刪除磁碟區陰影複製的副本資料、刪除系統還原的相關資料，以及限縮對於%windir%\system32\config資料夾內容的存取，來防範攻擊者濫用CVE- 2021-36934。 https://www.ithome.com.tw/news/145812 --

推

FrostGZ

08/10 22:22,

08/10 22:22

推

pokemon1318

08/10 22:22,

08/10 22:22

推

a123453906

08/10 22:23,

08/10 22:23