具有低权限的用户可以在Windows 10和Windows 11上访问敏感的注册表数据库文件,使其容易受到名称漏洞的本地提升名称为searingsam或hiveightmare。

听起来不真实吗?放心,用户必须已经访问系统并能够在所述系统上执行代码以使用此漏洞?不要。

使用SignSam,用户可以访问多个系统文件,包括安全帐户管理器(SAM)数据库。成功利用此漏洞的攻击者可以使用系统权限运行任意代码。然后,攻击者将完全控制,这意味着它们可以安装程序,查看,更改或删除数据,并使用完全用户权限创建新帐户。这正是攻击者想要的。

我的妈妈说

SAM代表安全帐户管理器,它应该是一个受保护的数据库,只能由Indimstrator权限访问。这是如此设计,因为数据库包含系统上所有用户的散列密码。

现在,我一直都教导了任何有物理访问系统的人,并且足够的知识都可以接受。这是真实的原因之一是系统的“持有者”可以转储那些敏感的注册表数据库文件Windows未运行时

当Windows不运行时,注册表没有被“挂载”,“访问违规”保护是无效的,因为对于另一个操作系统(OS),它们只是像任何其他文件一样的文件。你可以看到这里的警告。您需要查看来自外部操作系统的文件来实现这一点。(我将把“怎么做”留给你们自己想象吧。)

在从一个非活动的Windows机器中转储注册表Hive,如此可能听起来可能对某些人令人生畏,并且对于恶意软件难以拉出来,但是Signsam使其变得更加容易。Signamam删除了对外部操作系统的需求,以及窗户要关闭,使其成为可实现的技巧。它允许用户(或那些用户无意中运行的恶意程序)来绕过他们正在运行的计算机上的“访问冲突”保护。

通过哈希

“但是密码是哈希的!”,我听到你在想。在这种情况下,满足哈希攻击。Windows NT LAN Manager(NTLM)是一种质询 - 响应身份验证协议,用于对客户端验证到Active Directory域上的资源。当客户端请求访问与域相关联的服务时,该服务向客户端向客户发送挑战,要求客户端使用其认证令牌执行数学操作,然后将该操作的结果返回给服务。该服务可以验证结果或将其发送到域控制器(DC)以进行验证。如果服务或DC确认客户端的响应是正确的,则该服务允许访问客户端。声音安全,对吗?嗯,有趣的部分是,在散列中,您有足够的信息来执行获得访问所需的“数学操作”。身份验证过程不需要明文密码。哈希够。

所以,通过哈希是一种技术的名称,允许攻击者通过使用用户密码的哈希散列对远程服务器或服务进行身份验证,而不是要求您正常情况下的相关的明文密码。

变得简单

我们已被称为严重的漏洞被列为cve - 2021 - 36934虽然目前尚不清楚哪些版本的Windows易受攻击,但它看起来好像是某些版本的Windows 10和所有版本的Windows 11受到影响,只要系统保护,即可启用AKA影子卷。Microsoft咨询说“......我们可以确认此问题会影响Windows 10版本1809和更新的操作系统”。该公司正在研究该问题,一旦我们知道,我们将更新这篇文章。

该漏洞得到了其它名称,因为它影响了注册表荨麻疹,并作为最近发现的参考打印夜间Windows Print Spooler服务中的漏洞。我认为这是一个更好的名称,因为这个漏洞是因为SAM不是受影响的唯一敏感的注册表数据库。其他人都储存在%Windir%\ System32 \ Config文件夹,就像sam一样。它们是系统,安全性,默认和软件。这意味着黑客可能有更多的选择,其中有限地访问权限或实现等待远程执行等待的远程执行。

潜在的问题是,在Microsoft自己的单词中,“多个系统文件上的”过度允许访问控制列表(ACL)“。这些宽松的权限被传送到暗影副本中,其中文件被拆卸,并且由于母亲警告我的休眠电脑上的文件而非保护。因此,任何用户都可以将数据库从影子复制转储,并因此创建可读数据库。

默认情况下启用影子卷,以便不会带来危险的系统数量。它是一个有用的选项,但在这种情况下,它也是可以启用这种漏洞的原因。

减轻

虽然Microsoft预计将提出带外爆炸的漏洞,但您可以做一些事情来击败漏洞。无论您如何解决问题,请注意,修复原因不一定修复您已经采取的暗影副本的破坏权限。

您可以找到一些有用的命令来发现您的系统是否启用了卷影副本,以及它们是否易于攻击证书咨询。咨询说明“简单地拥有一个更大的系统驱动器大小128GB,然后执行Windows更新或安装MSI将确保将自动创建VSS影子副本。”

Microsoft建议限制对问题文件夹和删除卷影复制服务(VSS)卷影副本来缓解此问题的访问权限。

限制对内容的访问%Windir%\ System32 \ Config

  • 作为管理员,打开命令提示符或Windows PowerShell。
  • 运行此命令:icacls %列出% \ system32系统\ config \ *。* /继承:e

删除卷影复制服务(VSS)卷影副本

  • 删除在限制访问之前存在的任何系统还原点和阴影卷%Windir%\ System32 \ Config
  • 创建新的系统还原点(如果需要)。

注意:删除卷影副本可能会影响恢复操作,包括使用第三方备份应用程序还原数据。