Windows 10 系統中被爆出存在本地提權漏洞 HiveNightmare,可訪問註冊表中不被允許訪問的區域。黑客在獲得訪問權限之後可用於尋找登陸憑證、獲得 DPAPI 解密密鑰等等。這個漏洞同樣存在於 Windows 11 系統中。
這個漏洞緊隨 PrintNightmare 安全漏洞之後被發現,因此該零日漏洞被稱之為 HiveNightmare(因為它允許訪問註冊表蜂巢)。雖然目前沒有補丁,但微軟已經提供了在此期間的解決方法的細節。
通過該漏洞,黑客能未經授權的情況下訪問註冊表的敏感部分,特別是安全賬戶管理器(SAM)、系統和 SECURITY hive 文件。US-CERT 公告警告說,該安全漏洞影響到 Windows 10 Version 1809 及以上版本。一位安全專家表示 Windows 11 同樣受到影響。
US-CERT 在公告中明確了該漏洞的潛在影響,包括但不限於:
● 提取和利用賬戶密碼哈希值。
● 發現原始的Windows安裝密碼。
● 獲得DPAPI計算機密鑰,可用於解密所有計算機私鑰。
● 獲得計算機機器賬戶,可用於銀票攻擊。
該漏洞被追蹤為CVE-2021-36934,微軟描述為:
由於多個系統文件(包括安全賬戶管理器數據庫)的訪問控制列表(ACL)過於寬鬆,存在一個權限提升的漏洞。成功利用該漏洞的攻擊者可以用SYSTEM權限運行任意代碼。然後,攻擊者可以安裝程序;查看、更改或刪除數據;或創建具有完全用戶權限的新賬戶。攻擊者必須有能力在受害者系統上執行代碼才能利用這個漏洞。
目前微軟官方已經着手該漏洞的補丁開發工作,不過分享了一個臨時解決方案:
● 限制對 %windir%system32config 內容的訪問
1. 以管理員身份打開命令提示符或 Windows PowerShell
2. 運行此命令:icacls %windir%system32config*.* /inheritance:e
● 刪除 Volume Shadow Copy Service (VSS) 的陰影副本
1. 刪除在限制訪問%windir%system32config之前存在的任何系統還原點和陰影卷。
2. 創建一個新的系統還原點(如果需要)。
● 影響解決方案
刪除可能影響恢復運作的陰影副本,包括能夠恢複數據的第三方備份應用。
● 注意
你必須限制訪問並刪除影子副本以防止利用此漏洞。