Windows 11也受影響:本地提權漏洞HiveNightmare曝光
Windows 10 系統中被爆出存在本地提權漏洞 HiveNightmare,可訪問註冊表中不被允許訪問的區域。 駭客在獲得訪問許可權之後可用於尋找登陸憑證、獲得 DPAPI 解密密鑰等等。 這個漏洞同樣存在於 Windows 11 系統中。
這個漏洞緊隨 PrintNightmare 安全漏洞之後被發現,因此該零日漏洞被稱之為 HiveNightmare(因為它允許訪問註冊表蜂巢)。 雖然目前沒有補丁,但微軟已經提供了在此期間的解決方法的細節。
通過該漏洞,駭客能未經授權的情況下訪問註冊表的敏感部分,特別是安全帳戶管理器(SAM)、系統和 SECURITY hive 檔。 US-CERT 公告警告說,該安全漏洞影響到Windows 10 Version 1809 及以上版本。 一位安全專家表示 Windows 11 同樣受到影響。
US-CERT 在公告中明確了該漏洞的潛在影響,包括但不限於:
● 提取和利用賬戶密碼哈希值。
● 發現原始的Windows安裝密碼。
● 獲得DPAPI計算機金鑰,可用於解密所有電腦私鑰。
● 獲得計算機機器帳戶,可用於銀票攻擊。
該漏洞被追蹤為CVE-2021-36934,微軟描述為:
由於多個系統檔(包括安全帳戶管理器資料庫)的訪問控制清單(ACL)過於寬鬆,存在一個許可權提升的漏洞。 成功利用該漏洞的攻擊者可以用SYSTEM許可權運行任意代碼。 然後,攻擊者可以安裝程式;查看、更改或刪除資料;或創建具有完全用戶許可權的新帳戶。 攻擊者必須有能力在受害者系統上執行代碼才能利用這個漏洞。
目前微軟官方已經著手該漏洞的補丁開發工作,不過分享了一個臨時解決方案:
● 限制對 %windir%system32config 內容的訪問
1. 以管理員身份打開命令提示符或 Windows PowerShell
2. 運行此命令:icacls %windir%system32config*.* /inheritance:e
● 刪除 Volume Shadow Copy Service (VSS) 的陰影副本
1. 刪除在限制存取%windir%system32config之前存在的任何系統還原點和陰影卷。
2. 建立新的系統還原點(如果需要)。
● 影響解決方案
刪除可能影響恢復運作的陰影副本,包括能夠恢復數據的第三方備份應用。
● 注意
你必須限制訪問並刪除影子副本以防止利用此漏洞。