Windows 10惊传一般使用者也能读取SAM组态档的漏洞,恐被攻击者滥用,获得高系统权限
文/周峻佑 | 2021-07-23发表
对于Windows使用者而言,这个月接连被资安研究人员发现PrintNighmare等多个漏洞,都
与打印多工缓冲处理器模组(Print Spooler)有关,攻击者可滥用于本机提升权限(LPE
),有的甚至能用来远端执行程式码(RCE)攻击。
然而,资安研究社团Secret Club研究员Jonas Lykkegaard发现,Windows 10、Windows 11
存在可被用于提升本机使用者权限的漏洞CVE-2021-36934,而这个漏洞形成的原因,是受
到磁盘区阴影复制(Volume Shadow Copy)配置的存取权限有关,导致一般使用者就能存
取安全性帐户管理员(SAM)的档案。此漏洞很快就得到微软证实,该公司亦提出缓解措施
,但尚未推出修补程式。
关于这个漏洞的称呼,除了微软提报为CVE-2021-36934列管,还有2个用来形容它的名称。
例如,Bleeping Computer、The Record、Threatpost等新闻网站称之为SeriousSAM,而资
安业者Malwarebytes与Sophos则称作HiveNightmare。
这个漏洞并非直接在Windows 10上发现,而是微软甫于6月底推出的Windows 11测试版本。
Jonas Lykkegaard在测试Windows 11时,意外发现新的漏洞:一般低权限的使用者,也能
透过磁盘区阴影复制的副本内容,读取SAM的档案。这样的情形,一度被许多人以为只存在
于上述测试版作业系统,但随后也被其他研究人员与资安新闻网站Bleeping Computer验证
,多个版本的Windows 10,在安装所有的修补程式后,也存在相同的漏洞。
而同样能以相同手法被一般使用者直接存取的组态设定,并非只有SAM。Jonas Lykkegaard
向Bleeping Computer进一步说明,其他存放于%windir%\system32\config资料夹的组态设
定档案,也存在相同的问题,而这些是与Windows登录档有关的资料,涉及电脑里所有使用
者的敏感资料,以及Windows功能使用的Token,若是不具高权限的使用者就能存取,就有
可能很容易遭到滥用。其中,影响最为直接的就是SAM,因为这个组态档案包含了电脑所有
使用者的密码杂凑值,对于攻击者而言,可用来存取特定的使用者帐号。
一般来说,这些Windows登录档的组态档案无法直接存取,若是使用者意图存取,系统会显
示已被其他程式使用而无法开启。但Jonas Lykkegaard发现,这些组态档案通常会被磁盘
区阴影复制工具留存副本,且副本里的组态档案不需具备特殊权限就能存取。
上述的问题究竟有多严重?开发Mimikatz工具的资安研究员Benjamin Delpy指出,攻击者
可借此轻易偷取NTLM的密码杂凑值,来提升权限,若是进一步运用这项漏洞,他认为攻击
者可以发动名为Silver Ticket的进阶攻击。这名研究员也透过影片,展示CVE-2021-36934
的概念性验证(PoC)攻击。
而对于该漏洞的影响范围,美国电脑网络危机处理暨协调中心(CERT/CC)漏洞分析师Will
Dormann与SANS专家Jeff McJunkin不约而同指出,可能与Windows 10 1809版微软更动的
权限配置有关,自该版本之后的Windows都会受到影响。而这样的推论也得到微软的证实。
上述漏洞的发现,微软亦于7月20日发布安全通告,并于隔日提出缓解措施。该公司建议使
用者透过以下步骤缓解:包含删除磁盘区阴影复制的副本资料、删除系统还原的相关资料
,以及限缩对于%windir%\system32\config资料夹内容的存取,来防范攻击者滥用CVE-
2021-36934。
https://www.ithome.com.tw/news/145812